CTF-Web
Web方向(攻防世界——找FLAG)
前期在bilibili学习Web知识、基本漏洞原理、burp的用法…(菜鸟第三天)
baby_web
通过连接访问得到HELLO WORLD字段
根据一般思想,网页的首页一般名称为index、default、home
同时,通过本题可以知晓后缀名确定为.php
Training-WWW-Robots
本题涉及robots协议,白给题呢
upload1
本题考察为特定文件上传漏洞
首先随便上传文件发现,提示上传文件必须为图片
F12快捷键查看源码,发现其采用java script限制文件必须为.jpg和.png格式,则采用禁用java script模式即可上传除图片以外的文件
得到文件存储路径,在url中查看t2.php,则判断存在漏洞
使用一句话木马时,第一次采用了Get请求方式
试探出了文件夹结构:
但是通过对每一层的尝试访问均被拒绝,所以采用POST/REQUEST方式上传一句话木马,使用蚁剑操作
Web_php_unserialize
F12查看源码,确定注入点变量(shell)和请求方式(POST)
使用Live Http Header抓包