bugku-writeup-web-社工-初步收集

Posted dark2019

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了bugku-writeup-web-社工-初步收集相关的知识,希望对你有一定的参考价值。

题目:社工-初步收集

01—后台扫描

使用御剑后台扫描工具找到一个管理登陆界面

发现并没有其他有用信息。返回场景界面,寻找线索。

02—找线索

发现下载辅助可以下载到文件sz.zip

打开为 小bug刷钻.exe

双击运行exe文件,任意输入QQ号和密码,弹窗,但无线索,考虑可能需要抓包。

03—抓包

使用wireshark抓包,发现用户名和密码,使用base64解码,得到

User: YnVna3VrdUAxNjMuY29t  
base64解码:bugkuku@163.com
Pass: WFNMUk9DUE1OV1daUURaTA==   
base64解码:XSLROCPMNWWZQDZL

发现登陆名是邮箱,尝试使用163邮箱登陆。

直接登陆邮箱,发现不可以登陆,使用第2种方式,第三方邮箱授权码方式登陆邮箱(这里使用yomail),找到一些可能有用的信息,可以推断出mara的生日是20010206,很有可能是管理登陆界面的账号和密码。

登陆http://114.67.246.176:19884/admin/login.php,点击菜单,发现网站信息-网站设置中藏有flag。

以上是关于bugku-writeup-web-社工-初步收集的主要内容,如果未能解决你的问题,请参考以下文章

BugKuCTF_社工-初步收集

BugKuCTF_社工-初步收集

BugKu——Web——社工-初步收集

BugKu题解:(反人类)社工-进阶收集

社工找出幕后诈骗的黑手技巧篇

Kali Linux下社工密码字典生成工具Cupp和Cewl教程