CTFHUB-WEB前置技能-HTTP协议-基础认证
HTTP基础认证学习地址:https://zh.wikipedia.org/wiki/HTTP%E5%9F%BA%E6%9C%AC%E8%AE%A4%E8%AF%81
题目
靶机环境:
题目附件下载下来是个字典
点击Click,需要输入用户名和密码
尝试输入admin,admin,没有反应。
使用burp suite抓包 。
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。在进行基本认证的过程里,请求的HTTP头字段会包含Authorization字段,形式如下: Authorization: Basic <凭证>,该凭证是用户和密码的组和的base64编码。
抓包得到的凭证为YWRtaW46YWRtaW4=(base64编码)
将凭证解码后,显示的就是刚刚输入的用户名和密码
猜测可能需要使用附件提供的字典进行**。
右键,send to intruder
点击Add,将 Basic 后面 base64 部分添加为 payload position
加载附件中的字典
添加admin:(将用户名定义成admin并添加分隔符)
添加base64编码
取消url编码的勾选,不然=会被转换成%3d
开始**
**完成之后,点击Length,发现一个长度不一样的,点击查看response,拿到flag