Bugku-web(bp)

JTaoX2026-03-28 8:13

WriteUp1

题目信息

解题思路

打开页面,是一个登录页面

源码审计发现是个 form 表单提交

抓包,随便填写个密码提交观察

右键发送到重放器

点击发送

观察响应结果

发现有个 success.php 的页面,根据 JS 代码的 window.location.href 后面的地址知道,应该是访问服务器根路径下的 success.php 文件并携带查询参数

code 不等于 bugku10000 它才会走到 else,它来帮我们跳转到 success.php 并携带一个 code

所以猜测当账户密码正确时,会返回一个正确的code,错误时会返回bugku10000

猜测代码如下:

php 复制代码 
<?php
// 获取提交的账号和密码
$username = $_POST['username']; // 假设表单字段名为username
$password = $_POST['password']; // 假设表单字段名为password

// 验证逻辑 - 实际中可能是查询数据库
$isValid = false;
// 这里是实际的验证过程,比如查询数据库比对账号密码
// if (查询数据库验证成功) {
//     $isValid = true;
// }

// 根据验证结果设置不同的code
if ($isValid) {
    // 账号密码正确,生成一个有效的code
    $code = generateValidCode(); // 生成类似'hacker1000'的有效code
} else {
    // 账号密码错误,设置错误code
    $code = 'bugku10000';
}

// 输出HTML页面,包含生成的code
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>登录检测</title>
  <meta name="renderer" content="webkit">
  <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1">
  <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
  <link rel="stylesheet" href="layui/css/layui.css"  media="all">
  <style>
  </style>
</head>
<body>
<div id="d"><div>
<script>
  var r = {code: '<?php echo $code; ?>'}
  if(r.code == 'bugku10000'){
        console.log('e');
	document.getElementById('d').innerHTML = "Wrong account or password!";
  }else{
        console.log('0');
        window.location.href = 'success.php?code='+r.code;
  }
  
  </script>
</body>
</html>

所以要爆破出来正确的密码,让 check.php 判断账号密码正确了才能有对的 code

所以使用密码字典开始尝试

题目中提示弱密码T1000,以z开头,把 z 开头密码挑出来然后在 burpsuite 里爆破 check.php 看结果

python 复制代码 
f = open('中国网民-弱密码字典 T1000.txt', 'r') # 文件名换成自己实际的
wf = open('以z开头的密码.txt', 'w') 

str = f.read()
list = str.split('\n')

for item in list:
    if item.startswith('z'):
      print(item)
      wf.write(item + '\n')

结果如下

拿着新字典去爆破试试密码

右键发送到Intruder

添加payload

导入字典

点击开始攻击

发现响应的 length 全都一样长

已知 bugku10000 是不对的,而且刚才的 JS 代码告诉我们只要 code 的值不是 bugku10000,就会走 success.php 了,所以让 burpsuite 筛选下字符里不包含 bugku10000 的其他 code 值。或者一个一个点击查看每个密码的响应结果,看哪一个返回的code不是 bugku10000。

这里发现当密码为zxc123时返回结果不是bugku1000

当然,如果密码有很多的话,显然一个一个查看太费时间

应该筛选下字符里不包含 bugku10000 的其他 code 值

点击设置,找到检索匹配

勾选响应匹配的项

填写查找的字符串,点击添加

开始爆破观察特殊的 code 列

发现最后一个返回结果不一样

页面中输入密码zxc123

使用工具

Burp Suite

Pycharm

弱密码T1000

Flag

flag{94a3caa988cc28971f5d61c33c206e56}

总结

通过本题学到:

抓包

爆破

查找匹配

相关推荐
fanged21 小时前
RabbitMQ消息队列
web
Web打印1 天前
HttpPrinter(web打印控件)的gridreport和Fastreport对 ☑、★、✓ 等 Unicode 符号的支持
chrome·pdf·web
alwaysrun1 天前
python之异步高性能Web框架 FastAPI
python·fastapi·web·路由·pydantic
Web打印1 天前
2027年Web打印的几种方法
前端·pdf·web
祁白_2 天前
[0xV01D]_Night Traffic_writeUp
网络·安全·ctf·writeup
曲幽2 天前
写页面时别再把 Element Plus 整个搬进来啦!Vue3按需加载的坑我帮你踩平了
vue3·web·vite·icon·element plus·vs code·import·unplugin
祁白_2 天前
[0xV01D]_Release Echo_writeUp
大数据·安全·ctf·writeup
大数据魔法师2 天前
Streamlit(十一)- API 参考文档(四)- 图表元素
python·web
24kmaigc2 天前
NewStarCTF2025-ssti在哪里?-ssrf与ssti注入
python·网络安全·flask·web
大神15732 天前
重磅免费开放!基于B/S模式的Peach-Editor电子病历编辑器正式上线
javascript·编辑器·web
热门推荐
01GitHub 镜像站点02DeepSeek V4 + Claude Code thinking mode 400 错误修复方案03【AI】2026 年具身智能模型和世界模型总结04Codex 接入 DeepSeek API 完整配置文档05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06CC-Switch & Claude 基于 Linux 服务器安装使用指南07裂开!ChatGPT 居然开始要手机号验证,附详细解决方法08CC-Switch 全平台下载、安装与使用全指南(Windows/macOS/Linux)09几个好用的ip纯净度检测网站102026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot