ctfshow web入门 wp web7&&web8 web11--web20

本文讲述了作者在Web安全测试中的实践,包括使用dirsearch探测动态DNS,寻找隐藏的登录信息,通过查看源代码和构造payload,以及利用Unicode解密和hackbar工具进行破解。重点涉及到了数据库文件的访问和密码修改问题。
摘要由CSDN通过智能技术生成

web7&&web8

接上文,web7和web8我发现了一个比较官方的做法(不吃知识点)就是后台扫描

我用kali的dirb扫描不出来,于是用的dirsearch

web11

我昨天做了很久就是扫不出来DNS原来是个动态的所以就没了只能按照提示交flag了

web12

robots文件

得到用户名admin    实际上一般都是这个,密码在哪里呢(这个界面找了半天没找到)

这里有一个 372619038

找不到登录页面直接admin构造payload

web13

查看源代码,然后crtl+F搜索document

不要直接点,自己构造payload进入

web14

上传flag文件       看浏览器目录

var/www/html

然后直接访问

web15

 现居西安哈哈难绷居然这么细节

web16

url后缀名添加/tz.php 版本是雅黑PHP探针

只有phpinfo可以点击

web17

备份最常用的就是backup

会下载一个文件

web18

玩不了一点直接看源代码

点一下

幸好前两天看一点cr  ,Unicode解密

110.php

web19

查看源代码

直接登录错了要POST十八好好好

抓包我发现他给我密码弄长了,很明显把我密码改了

我就说hackbar怎么用不了原来把我密码改了

web20

mdb文件

url添加db/db.mdb(最常用的是db/data.mdb)

打开之后查找就行了

  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值