【Root-Me】 Weak password



看见题眼是弱密码,我第一反应就是用 hydra 工具进行爆破。

打开挑战页面后,弹出一个提示框要求输入账密,我顺手输入了 admin:admin

竟然通过了。。。。

一万匹草泥马从我心头奔腾而过。。。真特喵不愧是弱密码。。。

重新检查了各个地方没找到其他提示,而且输入账密的请求并没有频率限制,可以肯定渗透套路就是直接爆破。

在爆破时需要注意账密不是明文提交的,用 Burp Suite 拦截请求时,可以发现提交的的账密被本地加密到了 Authorization 参数中,稍微分析后知道加密方式为 Authorization="Basic " + to_base64(username:password)



答案下载

flag 下载后的 flagzip 的文件需要手动更改后缀为 *.zip,然后解压即可(为了避免直接刷答案)


文章作者: EXP
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EXP !
 上一篇
【Root-Me】 Squared 【Root-Me】 Squared
来源:Root-Me 题型:Steganography 题目:Squared 分数:5 Points 水题,密码隐藏在图片源码。 两种方法查看图片源码: 其一是直接在图片页面的URL最前面加上 view-source: 其二是下载图
2019-09-05
下一篇 
【Root-Me】 Gunnm 【Root-Me】 Gunnm
来源:Root-Me 题型:Steganography 题目:Gunnm 分数:5 Points 水题,隐写术的入门送分题。 所谓大隐隐于市,不需要借助任何工具,睁大眼睛看图片右上附近的位置就可以找到密码了。 答案下载 paylo
2019-09-02
  目录