ctfhub http協議刷題記錄

2021-10-11 21:32:18 字數 1718 閱讀 7112

拿到題目,得到提示

這裡我們可以用curl命令修改http請求方式

具體命令為

curl -v -x ctfhub url(
curl命令在kali裡才有,在window下要自己安

關於302屬於臨時重定向,我們可以在火狐瀏覽器f12的網路選項下查閱詳細的網路活動資訊

跟進就可以得到對應的url,然後用curl命令檢視伺服器的返回資訊

burp裡面抓包,修改請求頭的cookie值 admin:0變成1

檢視對應的響應包即可

這個題目學到了很多,雖然開始寫的時候走了很多彎路(譬如自己還苦兮兮地用自己半路子出家的指令碼水平來寫指令碼)假期一定好好學python(先立好flag)

首先得到題目,是乙個登入,沒有其他明顯提示,應該是需要爆破

在結合基礎認證的介紹

嘗試使用者名為admin,密碼為123,在burp裡抓包

放到base64**裡解碼可以得到

由於給了乙個弱口令文件每個字段前頭都沒有admin:

所以打算寫乙個指令碼給它補上

with open(

'10_million_password_list_top_100.txt','r'

) as f:

for line in f.readlines(

): #readlines() 方法返回乙個列表,其中包含檔案中的每一行作為列表項。

line =

'admin' + ':' + line

print(line)

with open(

'final.txt','a+'

) as res:

res.write(str(line))

(後來發現在burp裡面的payload processing模組可以直接加字首,哎呦我去)

接下來就是在burp裡設定各類引數了,載入密碼文件,給負載編碼,一定一定要記得取消url編碼否則base64編碼裡的=會被url編碼成%3d

爆破即可得到flag值

不要想太多直接f12一把梭

OI刷題記錄

2014 4 18 poj3264 bzoj1699 balanced lineup rmq 2014 4 19 bzoj1012 jsoi2008 最大數maxnumber noi2004 鬱悶的出納員 bzoj3224 tyvj 1728 普通平衡樹 2014 4 20 bzoj1862 105...

面試刷題記錄

寫一段 判斷乙個包括 的表示式是否合法 注意看樣例的合法規則。給定乙個表示式a,請返回乙個bool值,代表它是否合法。測試樣例 a b 5 4 返回 true 測試樣例 a b 5 4 返回 false include vector include iostream using namespace ...

刷題記錄 2015 11 14

現在每天做的題都記錄一下,免得不知道自己在幹什麼。poj2406 用next陣列的定義求迴圈節 poj3261 字尾陣列 題 spoj705 同上,這題我wa了幾次,結果發現 我以為字串只有大寫字母,其實有小寫。如下 poj2406 author duyixian date 2015 11 14 1...