Bugku-web(网站被黑-爆破)

最新推荐文章于 2023-06-26 08:47:09 发布
最新推荐文章于 2023-06-26 08:47:09 发布
阅读量535 收藏 2
点赞数
分类专栏: Bugku CTF 学习记录 文章标签: 网络安全 信息安全 web 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/118676580
版权

这个题非常经典,做一下纪念。
题目给出一个网址:
在这里插入图片描述
打开后看源代码,检查都没什么东西。
扫扫网站目录,用的爆破的方法
这里使用的是御剑:
在这里插入图片描述
原理非常简单,就是挨个试看状态码情况就行,python写也行。
扫到之后就进去
在这里插入图片描述
它还有提示,其实就是告诉你是“黑客”留的后门,即密码为"hack"
这里bp爆破:
抓包找到带pass相关字段的包:
在这里插入图片描述
右键送去爆破:
在这里插入图片描述
选择你要爆破的位置:
在这里插入图片描述
在这里的"load"放入你的字典:
在这里插入图片描述
如果你要使用bp的自带字典:
/usr/share/wordlists/
dirb
big.txt #大的字典
small.txt #小的字典
catala.txt #项目配置字典
common.txt #公共字典
euskera.txt #数据目录字典
extensions_common.txt #常用文件扩展名字典
indexes.txt #首页字典
mutations_common.txt #备份扩展名
spanish.txt #方法名或库目录
others #扩展目录,默认用户名等
stress #压力测试
vulns #漏洞测试
剩下的就是等待了,值得一提的是社区版的bp仅支持单线程,速度缓慢,最好使用其他版本,提高线程数。

sayo.
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku 网站/管理员系统/WEB4/输入密码查看flag 题目详解
夜车星繁的博客
05-22 2011
网站 来到了bugku;打开“网站”这道题; 页面如图; 接触此类题目,一般从后台扫描方面考虑; 御剑后台扫描工具 链接: https://pan.baidu.com/s/1bebPE9aNEVnV1_o1fgAMvA 提取码: w46z 扫描http://123.206.87.240:8002/webshell/结果如下,发现后台一个网站: 打开这个网...
BugkuWeb网站
Pai_Space
10-22 551
1. 进入场景 无法右键 f12查看源代码 没有提示 由于是网页被 使用御剑扫描试试 御剑扫描工具是一款后台安全扫描工具,它能帮你实时监控后台文件的安全性,防御网站风险 2. 扫描后发现shell,php 进入 随便输入一个a进行抓包 bp爆破 得到密码hack 输入得到flag ...
Bugku-网站
热门推荐
小水池
08-10 6万+
网站 http://120.24.86.145:8002/webshell/ 这个题没技术含量但是实战中经常遇到 解题思路: 打开链接是一个页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧  扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后  开burp进行爆破,这里选择Simple l...
第四周所学
ANYOUZHEN的博客
11-15 3116
1.攻防世界 batman web 打开后是一个页面和一串代码 分析上述代码,正则匹配,首先这个字符的长度为16,其次要匹配到be0f23 233ac e98aa c7be9 正则表达式中^匹配行首,$匹配行尾,所以我们知道be0f23是开头需要匹配的,e98aa是末尾匹配的,由于这个字符串的长度为16,所以我们得出be0f233ac7be98aa,刚好长度为16 将其输入网页中,be0f233ac7be98aa,得到flag ...
BUUCTF-Ez_bypass
m0_47571887的博客
11-10 573
打开题目, 很杂乱,我们右键查看一下源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $
行业分类-设备装置-爆破作业智能服务平台.zip
08-23
行业分类-设备装置-爆破作业智能服务平台.zip
密码爆破---绕过验证码进行登录爆破
04-14
给密码爆破提供了更多的思路
枪声-爆破声.zip音效声音WAV格式或MP3格式素材下载
02-26
枪声-爆破声.zip音效声音WAV格式或MP3格式素材下载枪声-爆破声.zip音效声音WAV格式或MP3格式素材下载 1.适合学生做毕业设计用 2.适合程序员开发项目用 3.适合小公司做项目使用
web安全爆破字典bp.txt
最新发布
10-28
web安全-抓包字典
爆破crc32,CRC爆破-crc-cracker-master.zip
05-19
爆破crc32,CRC爆破-crc-cracker-master.zip 该脚本建议在kali下使用
CTF练习题——bugkuCTF 网站题目思路分析
Jum的博客
11-13 3049
今天继续战斗WEB漏洞题目,好好学习天天向上。
bugku:POST、头等舱、网站、alert、你必须让他停下、本地管理员、bp
lulu001128的博客
03-01 1412
解题过程
初识burpsuite
wha1e的博客
03-18 3576
bp安装配置以及简单使用
bugku ctf 网站 (这个题没技术含量但是实战中经常遇到)
qq_42777804的博客
08-13 7062
  废话不多说 ,直接打开 发现  ,哇 !!!!!好华丽的 界面      而且还有东西跟着鼠标走   这个该怎么弄?????????????????????????   题目说了  实战  经常遇到   那么  直接用 御剑跑一下 五分钟后。。。。。。。。。。   发现有两个  , 我们打开第二个   http://120.24.86.145:8002/w...
【愚公系列】2023年06月 Bugku-Web网站
时光隧道
06-26 5812
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy中拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置中选择“Simple list”模式。
BugKu-----程序员本地网站
qq_45616570的博客
06-23 793
title: BugKu---------备份是个好习惯 date: 2021-06-23 18:48:44 description: 前言:零度安全搭建博客后的第N篇文章 top: categories: BugKu刷题 tags: 网络安全 BugKu BugKu-----程序员本地网站 题目 解题思路 ​ 从本地两个字可以才想到可能是修改X-Forword-for的信息 解题过程 打开题目 本题解题姿势很多,我采用的是使用插件,直接修改ip为127.0. 0.1拿到flag。也.
bugku网站
weixin_63289925的博客
01-08 104
打开题目链接 就会看到很炫酷的画面,鼠标动还挺好看,使用御剑进行后台扫描,点击批量扫描后台,再左下角点击添加题目网页链接 选择字典php.txt使用,并点击开始扫描 扫描完之后呢,出现了两个网址,而第一个网址跟之前的题目网址一样没啥用,点击第二个就出现了WebShell 发现是密码输入题,想到bp爆破,然后Send to Intruder 先clear,再选中123456进行add,因为只用爆破一个数据,所以选择Sniper,已默认 再到Payloads,选择爆破字典,用b...
BugKu CTF(杂项篇MISC)---客的照片
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-13 2548
BugKu CTF(杂项篇MISC)—客的照片 文章目录BugKu CTF(杂项篇MISC)---客的照片题目提取文件00000436 rsa 解密00000438 图片隐写flag2 改高flag3 stegpyflag1 zstegflag 拼接 题目 提取文件 foremost hacker.png 00000436 rsa 解密 e = 65537 p = 16435030890771245250471689347093882208680256137725184148561
ctfshow-web入门爆破
08-30
在ctfshow-web入门爆破中,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码中的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值