web渗透

最新推荐文章于 2024-04-28 16:31:23 发布
最新推荐文章于 2024-04-28 16:31:23 发布
阅读量449 收藏
点赞数
分类专栏: 网络安全 文章标签: 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JJH2724719395/article/details/131313962
版权

首先这道题目与ctf还是有点关系的,首先看一下题目:

通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分)

通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分)

通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(2分)

通过浏览器访问http://靶机服务器IP/4,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交;(3分)

通过浏览器访问http://靶机服务器IP/5,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交。(3分)

通过浏览器访问http://靶机服务器IP/5,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号中的内容作为flag值并提交。(3分)

根据提示找到ip中的网站内容:

那第一个就是一个很明显的一个算数,但是你会发现只能输入一个,所以我们将源代码中的内容将其修改。

Flag自然也就拿到了。

下一个:

说是vim编辑器,于是联想到一个备份文件的内容。访问备份文件进行访问:

下一道题目:

一看到这个界面,就知道是一个爬虫文件:

显示出flag.php,随后进行访问:

下一道题目就是简单php代码:

第五道题目就是一个登录界面:

看到这里第一个想到的肯定是万能用户,使用万能用户进行渗透:

Flag就出来了。

最后一道题目:

看到这个界面,立刻就想到了xff,使用xff进行渗透:

这里主要还是主要看一下这个题目,上面说的是ip为172.16.1.100,所以说就不能写别的ip:

x-forwarded-for: 172.16.1.100

flag就显示出来了。

浩~~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基本的WEB渗透测试
weixin_43367971的博客
10-05 2594
基本的WEB渗透测试 文章目录实验要求一、SQL注入二、File_include(文件包含):三、File_upload(文件上传): 实验要求 1. 对靶机进行注入攻击获取数据库数据信息(flag{xxx}) 2. 通过文件包含获取敏感数据(某路径下F1a9文件) 3.寻找文件上传点并尝试绕过实现木马上传实现远程控制靶机(获取某文件内容flag{xxxx}) 一、SQL注入 1.1 查询当前连接的数据库,输入命令-1’ UNION SELECT 1, database()#。 1.2 查询
2021年江苏省职业院校技能大赛职网络信息安全赛项试卷
FogIslandBay的博客
09-20 3310
任务三:web安全渗透测试 通过浏览器访问http://靶机服务器IP/1,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/2,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag值并提交;(2分) 通过浏览器访问http://靶机服务器IP/3,对该页面进行渗透测试, 找到flag格式:flag{Xxxx123},括号的内容作为flag
CTFd-Web题目动态flag
Elite的博客
11-17 1420
本文详细讲解了如何在ctfd等靶场部署具有动态flag的web题目,并介绍了如何用docker仓库拉取web题目
CTF训练笔记(五)- 一些获取FLAG的方法总结(待续)
热门推荐
morrino的博客
04-21 2万+
- 注意开放了未知服务的端口,可以使用nc工具获取对应的Banner信息; - 当命令疑似被过滤时,尝试使用相近的shell命令绕开过滤,如‘cat’换成‘more’; - 不放过任何可利用服务和细节,哪怕可能会做无用功; [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
2024 一带一路暨金砖国家技能发展与技术创新大赛【企业信息系统安全赛项】选拔赛样题
最新发布
Aluxian_的博客
04-28 2399
任务 1:找到 A 集团总站点,对目标进行渗透测试,找到站点的后台管理页面以及该站点运行的系统账户,将端口号与账户名作为flag 值提交, 提交格式:flag{后台端口+服务运行账户};1.访问目标网页下载pwn程序,对该程序进行安全审计,通过相应的漏洞得到隐藏的flag,提交格式:flag{******}。5.访问目标网站下载MISC.zip文件,将文件5的flag值提交,提交格式:flag{******}。1.访问目标网站下载MISC.zip文件,将文件1的flag值提交,提交格式:flag{
获取flag
qq_49091880的博客
01-02 1万+
获取FLAG值 一、SSH服务器 1.如何从外部进入最终root主机,获得flag值 SSH:建立在应用层基础上的协议 SSH是目前较可靠,专门远程登录会话和其他网络服务提供安全性的 协议。利用SSH协议可以有效防止远程管理过程的信息泄露问题 2.SSH基于TCP 22端口的服务 3.SSH协议认证机制 (1)基于口令的安全验证 (2)基于密钥的安全验证 注:id_rsa:私钥 id_rsa.pub:公钥 二、实验环境 1.攻击机:192.168.1.105 2.靶机机器:192.168.1.106
渗透测试--CTF--FLAG
qq_50034496的博客
12-06 5196
渗透测试--CTF--FLAG
ctfshow-web 信息收集篇
akxnxbshai的博客
01-11 982
web 1 直接查看源代码即可。(F12或Ctrl+u) web 2 跟web 1相似,但只能用Ctrl+u。 web 3 直接F12,在响应可以看到flag。 web 4 打开网址后什么都没发现,最后观察题目,在网址后加上/robots.txt,发现 User-agent: * Disallow: /flagishere.txt 在网址后加上/flagishere.txt即可得到flag。 web 5 根据题目为phps文件泄露,查看phps文件,下载即可拿到fl
2024年山东省网络安全Web20200529隐藏信息探索
依旧是寻觅
12-21 546
换环境有问题可以私信加q 通过本地PC渗透测试平台Kali对服务器场景Server2007的网站进行访问,找到登录界面的FLAG,并将FLAG提交;通过本地PC渗透测试平台Kali对服务器场景Server2007的网站进行访问,在登录界面登录,登录成功后在成功的界面找到FLAG并提交;
CTFHUB HTTP协议 请求方式
qq_75120258的博客
10-09 194
页面显示使用的是get传参,如果我们使用CTFHUB传参方法,就会得到flag,打开BUP,抓取页面,并发送到Repeater。这里我们可以看到传参方式是GET,我们需要讲将GET改为CTFHUB就能得到flag了。
web渗透系列教学下载共64份.zip
12-30
web渗透系列教学下载共64份: 内容如下; web渗透--1--web安全原则.pdf web渗透--10--不安全的HTTP方法.pdf web渗透--11--登录认证安全测试.pdf web渗透--12--浏览器缓存攻击测试.pdf web渗透--13--目录遍历文件包含...
超全的Web渗透自我学习资料合集(64篇).zip
09-30
超全的Web渗透学习资料合集,共64篇。 web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别...
Web渗透技术及实战案例解析
11-29
Web渗透技术及实战案例解析》从Web渗透的专业角度,结合网络安全的实际案例,图文并茂地再现Web渗透的精彩过程。《Web渗透技术及实战案例解析》共分7章,由浅入深地介绍和分析了目前网络流行的Web渗透攻击方法和...
web渗透测试
06-09
Web渗透测试教程,该课程侧重于讲解Web安全,并通过实验详细分析常见的十种Web漏洞、漏洞利用过程等。
Web入门1
2514804004的博客
10-21 892
web安全入门
2021-01-31
m0_54628962的博客
01-31 1047
20210131CTF题目练习 1.web1:view_source 打开网页 因右键无法使用,想要查看源代码可以使用Ctrl+u来查看,或可以在地址栏前面加上view_source:来查看 即可得到flag值,如图 2.web2:robots 打开网页,在网址后加上robots.txt,查看文件里的内容 将文件flag部分粘贴复制至网址后得到flag 3.Misc题目:this_is_flag 题目答案即题目描述后for example后面的内容 4.crypto题目:base64 点击附
CTFshow web入门——信息搜集
小元砸的博客
01-12 3892
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
BugkuCTF web 输入密码查看flag——never give up
the_world_go的博客
04-06 926
输入密码查看flag 看到要输入密码(爆破爆破爆破)。 打开bp抓包。爆破(果然弱密码) 输入密码得到 flag{bugku-baopo-hah} 点击一百万次好像网页崩了(也有可能我太菜了),进不去。。。 备份是个好习惯 打开网页,一段乱码。好的我看不懂,看源码没线索,抓包,没发现 拿御剑扫下后台吧 找到了 可以看到我要提交key1和key2,他们不相等但是md5处理以后相等 参考php漏洞...
Web基础
wangson的博客
11-04 273
本文是关于写一个web项目的相关知识内容。开发环境:eclipse 语言:javaservlet 配置:servlet的配置在一个dynamic项目webcontent/WEB-INF/web.xml <servlet> <description></description> <display-name>back/DepartmentServlet</d
python web渗透
09-11
Python 在 web 渗透方面非常强大,可以用来编写各种工具和脚本来进行自动化渗透测试。以下是一些常用的 Python 库和工具,可以助力你进行 web 渗透: 1. Requests:用于发送 HTTP 请求,可以模拟用户在浏览器与服务器的交互,获取网页内容、提交表单等。 2. BeautifulSoup:用于解析 HTML 和 XML 文档,可以方便地提取网页的信息,如链接、表单、脚本等。 3. Selenium:用于模拟浏览器行为,可以自动化操作网页,实现自动化测试或爬虫。 4. Scrapy:一个功能强大的 Python 爬虫框架,可以快速开发和部署爬虫应用,支持高并发和数据提取。 5. Burp Suite:一款专业的渗透测试工具,提供了强大的代理、扫描、攻击和报告功能。它也提供了 Python 的扩展 API,可以编写 Python 脚本与 Burp Suite 进行交互。 6. SQLmap:一款非常流行的自动化 SQL 注入工具,可以检测和利用 web 应用程序的 SQL 注入漏洞。 7. DirBuster:用于暴力破解 web 服务器目录和文件名的工具,可以帮助你发现隐藏的文件和目录。 这些工具和库只是众多 Python 在 web 渗透的应用之一,你可以根据具体需求选择合适的工具,或者根据需要编写自己的脚本。记住,在进行任何渗透测试之前,请确保你已经获得了合法授权,并遵守相关法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浩~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值