- 博客(3)
- 收藏
- 关注
RSS订阅原创 CTFhub技能树-Web-密码口令
攻城锤模式与狙击手模式类似的地方是,同样只使用一个payload集合,不同的地方在于每次攻击都是替换所有payload标记位置,而狙击手模式每次只能替换一个payload标记位置。使用Burp爆破密码,猜测用户名是admin,只需要爆破密码即可,同时爆破用户名和密码太费时间了。,在返回包中找到flag,如果太多可以使用过滤只看200状态码的响应。设置一下资源池中的爆破速度和间隔时间,否则会出现503响应发生。在网上找“亿邮件网关”的默认密码,一个一个尝试。总体也不影响,按返回长度排序,密码是。
2024-08-14 12:52:15
352
原创 CTFhub技能树-Web-信息泄露
在平常的工作中,当我们在单独拉取的功能分支中进行开发时,遇到线上出现bug需要进行紧急修复,我们需要切换到主分支,进行代码的修复。合理的方式应该是将功能分支的代码临时存储在某个位置,当我们切回到当前分支,读取该存储,将之前的改动恢复。这就引起了git泄露漏洞。当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。这样的命令,完美的解决了这个问题,其将当前未提交的修改(即工作区和暂存区的修改)先暂时储藏起来。
2024-08-14 12:44:19
545
原创 CTFhub技能树-Web-HTTP
在HTTP中,基本认证(英语:Basic access authentication)是允许http用户代理(如:网页浏览器)在请求时,提供 用户名 和 密码 的一种方式。在Payload处理选项卡添加前缀和Base64编码,取消勾选Payload编码选项卡中的URL编码字符,否则。HTTP 请求方法, HTTP/1.1协议中共定义了八种方法(也叫动作)来以不同方式操作指定的资源。抓包查看响应包里的源代码,或者直接右键查看源代码。直接抓包,在Repeater中查看响应包。HTTP响应包源代码查看。
2024-08-14 12:22:35
458
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人