文章总结： 本文记录了一道CTF弱口令爆破题的解题过程，作者通过分析登录页面发现响应内容不变但Cookie中隐藏失败提示的关键细节，调整脚本逻辑后成功爆破出弱口令组合，并利用Session访问/flag路径获取Flag。文章强调需关注Cookie/Header信息而非仅依赖HTML内容，同时从防御角度提出禁用弱口令、增加验证码等建议。 综合评分： 85 文章分类： CTF,WEB安全,渗透测试,实战经验,安全意识

AI渗透测试 — 一道“弱口令爆破”题的解题记录：别忽略 Cookie 里的提示

原创

yushao yushao

网络安全者

2026年6月22日 09:26 河南

在小说阅读器读本章

去阅读

最近做了一道 CTF Web 题，关键词很直接：弱口令爆破。

题目给了一个登录页面，看起来没有太多花哨功能，核心目标就是通过登录验证后拿到 Flag。虽然题目方向很明确，但实际分析过程中还是踩了几个小坑，尤其是响应判断和 Session 处理部分，值得记录一下。

题目地址：https://****.challenge.ctf.show/ 题目类型：Web / 弱口令 最终结果：成功获取 Flag Flag：CTF{***************}

0x01 访问页面，确认入口

打开题目地址后，页面是一个非常典型的登录框。

没有明显的注册入口，也没有其他功能点，页面标题类似：

<title>CTF Login</title>

表单字段也很常规：

• • username
• • password

结合题目关键词“弱口令爆破”，基本可以判断这道题的突破点就是尝试常见账号密码组合。

0x02 第一次尝试：常见弱口令

先手工尝试了几组常见组合，比如：

admin / admin
admin / 123456
root / root
test / test
guest / guest

一开始用命令行直接发 POST 请求时踩了一个坑。

在 PowerShell 里直接使用类似下面这种写法：

curl -X POST https://****.challenge.ctf.show/ -d username=admin&password=admin

会出问题。

原因是 & 在 PowerShell 中有特殊含义，会被当成命令连接符解析，导致请求参数没有按预期发送。

所以后面改用 PowerShell 的 Invoke-WebRequest 来构造 POST 请求。

0x03 响应内容看起来“不变”

使用弱口令组合进行尝试后，发现一个现象：

不管账号密码对不对，页面返回的 HTML 内容看起来都差不多，长度也基本一致。

例如失败响应仍然返回登录页：

<!DOCTYPE&nbsp;html>
<html&nbsp;lang="en">
<head>
&nbsp; &nbsp;&nbsp;<title>CTF Login</title>
</head>
...

如果只根据页面内容判断，很容易误以为所有尝试都失败了。

这时候不能只看 HTML 页面，还要看响应头、Cookie、跳转状态等信息。

0x04 关键发现：Cookie 里藏着失败提示

进一步查看响应头后，发现服务端使用了 Flask 常见的 Flash 消息机制。

登录失败时，响应的 Cookie 中会带有类似提示：

Invalid credentials. Please try again.

也就是说，虽然页面内容没有明显变化，但服务端已经通过 Cookie 记录了“登录失败”的提示信息。

这就是判断爆破是否成功的关键。

简单来说：

• • 如果响应 Cookie 中包含 Invalid credentials，说明登录失败；
• • 如果没有这个失败提示，则可能登录成功；
• • 登录成功后还需要携带 Session 继续访问其他路径。

0x05 改进判断逻辑

最开始的爆破脚本只判断页面内容是否变化，这个判断是不准确的。

后面调整思路：

1. 1. 对每组账号密码发送 POST 请求；
2. 2. 检查响应头里的 Set-Cookie；
3. 3. 判断 Cookie 中是否存在失败提示；
4. 4. 如果没有失败提示，就作为疑似成功组合进一步验证。

经过测试，发现一组弱口令可以通过登录：

用户名：a****
密码：a****

这里按要求做了脱敏处理。

0x06 携带 Session 访问 Flag 页面

登录成功之后，并不是直接在登录响应里显示 Flag。

这类题通常会在登录态下开放一些隐藏路径，比如：

/flag
/admin
/dashboard
/home

因此需要保留登录后的 Session Cookie，再访问可能存在的敏感路径。

最终在如下路径中拿到了 Flag：

/flag

返回内容中包含目标 Flag：

CTF{***************}

0x07 总结

这道题整体不复杂，但有几个细节比较关键：

• • 不要只根据 HTML 内容判断登录是否成功；
• • 登录失败提示可能藏在 Cookie、Header 或 Flash 消息里；
• • PowerShell 中使用 curl 时要注意 & 的解析问题；
• • 弱口令题拿到账号密码后，还要继续维护 Session；
• • 常见路径如 /flag、/admin、/dashboard 值得尝试。

最终利用弱口令成功登录，并通过登录 Session 访问 /flag 获取 Flag。

0x08 防御视角

从安全角度看，这类问题也很典型：

• • 禁止使用默认口令和弱口令；
• • 登录接口应增加验证码、限速、锁定策略；
• • 不要在 Cookie 中暴露过于明确的错误信息；
• • 后台敏感路径需要严格鉴权；
• • 对爆破行为做好日志记录和告警。

弱口令问题看似基础，但在真实环境中依然非常常见。CTF 里它是送分题，生产环境里它可能就是突破口。

| | | | — | — | | | |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全者 yushao yushao《AI渗透测试 — 一道“弱口令爆破”题的解题记录：别忽略 Cookie 里的提示》