• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Вопрос по тачке с login page

rootme

Active member
22.03.2023
37
0
BIT
18
Уважаемые форумчане, всем Доброго Дня!
Будьте добры, разъясните не очень продвинутому юзеру пару вопросов. Тачка новая, на платформе TryHackMe, называется
Capture! Can you bypass the login form?
По сути машина представляет из себя login page которую нужно сломать.
Также на платформе к машине идут доп. файлы, из себя они представляют 2 ткстишника. Один это список паролей, Второй это список логинов.
Очевидно что вроде как по задумке автора тачки надо брутить.... если только это не ложный вектор атак...
Потратив около часа, рыскав по codeby и kalitools, нашел как сбрутить. Попробовал через гидру, wfuzz, и BurpSuite. Как и писалось на kalitools , гидра не адекватна в этом вопросе и выдала 16 валидных пассов и ни один из них не работает.
wfuzz, и BurpSuite прогоняют словари но результата нет...
Nmap выдал мне необычайно длинный ответ для одного http сервиса на 80 порту, который я полностью не могу понять в силу крохотных знаний. (оставлю вывод в закрепе)
Также, на тачке стоит некое подобие каптчи с математическими примерчиками, будь они не ладны. Брут лоб в лоб из-за этого и не проходит, во всяком случае мне так кажется.
Подскажите пожалуйста, как это обойти?
Буду рад как ссылкам на статьи, так и советам, и векторам с намеками.
С уважением прошу не давать ответов на высокополигональном профессиональном языке, дабы не терялась нить взаимопонимания))) Пол года назад я и знать не знал что есть такая профессия что такое kali и что такое Linux.
Заранее прошу прощения если вопрос глуп и зря потратил ваше время.
 

Вложения

  • CaptureNmap.txt
    7,7 КБ · Просмотры: 57

B13

Заблокирован
01.01.2020
412
55
BIT
134
1. С Hydra посмотрите туториалы как пример:

2. BurpSuite он же швейцарский нож для web hacking, что бы понять как он работает и понять, что получилось у вас или нет, пройдите их обучение


Просто объяснять на пальцах, куда смотреть и что вы делаете не так немного сложновато потому что не понятно, что вы уже проделали.
 
Последнее редактирование:

rootme

Active member
22.03.2023
37
0
BIT
18
1. С Hydra посмотрите туториалы как пример:

2. BurpSuite он же швейцарский нож для web hacking, что бы понять как он работает и понять, что получилось у вас или нет, пройдите их обучение


Просто объяснять на пальцах, куда смотреть и что вы делаете не так немного сложновато потому что не понятно, что вы уже проделали.
Благодарю вас! Пойду изучать
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!