XCTF攻防世界web新手练习_ 7_weak_auth
2019-04-28 23:15
721 查看
XCTF攻防世界web新手练习—weak_auth
题目
题目为weak_auth,描述信息,重点:随手就设了一个密码
进入题目,看到需要登录,随便输入一个用户名和密码试试
弹出弹窗提示用admin账户登录
于是用确定用户名为admin
F12看看源码,提示需要一个字典,意思是要进行爆破
于是用burp进行爆破,当密码为123456时返回长度不同
查看此时返回响应得到flag!
关于弱密码的爆破
弱密码
弱密码是易于猜测的密码,主要有以下几种:
- 1. 顺序或重复的字相邻字母: “111111” 、“abcdefg”、 “asdf”、“qwer”键盘上的
- 2. 使用数字或符号的仅外观类似替换,例如使用数字“1”、“0”替换英文字母“i”、“O”,字符“@”替换字母“a”等;
- 3. 登录名的一部分:密码为登录名的一部分或完全和登录名相同;
- 4. 常用的单词:如自己和熟人的名字及其缩写,常用的单词及其缩写,宠物的名字等;
- 5. 常用数字:比如自己或熟人的生日、证件编号等,以及这些数字与名字、称号等字母的简单组合。
下面是一些常见的弱密码:
admin ——太容易猜出 123 ——同上 abcde ——同上 abc123 ——同上 123456 ——由于文化因素极其常用 1234 ——同上 888888 ——同上 1234567890 ——同上 susan ——常见人名 BarackObama ——高知名度人物 monkey ——常见动物名且正好六位 password ——经常被使用,极易猜出 p@$$\/\/0rd ——简单的字母替换,易被黑客软件破译 rover ——宠物的常用名称,也是一个单词 12/3/75 ——日期 nbusr123 ——可能是用户名,如果是这样的话很容易被猜出 asdf ——常用键盘的键排列 qwerty ——常用键盘的键排列 aaaaa ——重复的字母,极易被破解 Taiwan ——地名 administrator--太容易猜出
用burpsuite进行暴力破解密码
相关文章推荐
- XCTF攻防世界web新手练习_ 10_simple_php
- XCTF攻防世界web进阶练习_ 4_upload
- XCTF攻防世界web进阶练习_ 1_NewsCenter
- XCTF攻防世界web进阶练习_ 2_lottery
- XCTF攻防世界web进阶练习_ 5_mfw
- XCTF攻防世界web进阶练习_ 3_unserialize3
- XCTF-攻防世界-新手训练-12-maze
- Bugku web解题新手向(持续更新)
- 移动应用发展远超Web 谷歌苹果将主导世界?联网的发展才刚刚开始
- 黑客攻防技术宝典 Web实战篇1-8章总结
- [Web前端技术教学]图片与文字混排基础练习-2
- web前端布局小练习
- web学习-项目练习-No.1-游记
- Web.config配置文件详解(新手必看)
- BugKuCTF(CTF-练习平台)——WEB-SQL注入1
- 新手silverlight练习--五子棋( 三 )
- Web攻防之XSS,CSRF,SQL注入
- web.py 0.3 新手指南
- Apache初探:为何能够成为世界使用排名第一的Web服务器软件
- CTF-web练习