bugku-网站被黑(这个题没技术含量但是实战中经常遇到)

最新推荐文章于 2024-10-18 22:38:07 发布
最新推荐文章于 2024-10-18 22:38:07 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: ★ CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/84886895
版权

题目地址:http://123.206.87.240:8002/webshell/

进去之后没什么特别的提示

但题目说了  实战  经常遇到  

所以  直接 御剑 跑一下

http://123.206.87.240:8002/webshell/shell.php

进入到一个  后台登陆页面

打开burp

使用burp中的 Intruder模块 爆破

用burp自带的 short word字典,并按 stack Intruder

 

调整 length的排序

可以看出密码是 hack 

登陆即得 flag

烟敛寒林o
关注
专栏目录
CTF之Bugku网站
weixin_41607190的博客
09-25 9840
点开是这么一个页面 晃来晃去还挺好玩的 标网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
BugKuCTF套路满满的--------网站
qq_42133828的博客
12-07 2709
目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit的Intrude...
Bugku——网站
最新发布
weixin_71914594的博客
10-18 199
依然是F12看看能不能找到什么有用的信息。那就继续扫目录看看能不能找到突破点。既然只用爆破一个参数 那就不用修改。爆破完了 筛选一下不一样的返回值。右键发送到Intruder模块。还得是dirsearch神器。找出来shell.php。Bugku——网站。那就上bp抓包爆破看看。
Bugku-web-网站
weixin_57524749的博客
08-18 611
代理开启抓包-----》发送到攻击模块-----》密码位置添加payload-----》攻击类型为狙击手。来到payload-----》从文件加载------》添加密码字典-----》开始攻击。可以看到他有一个index.php地址。打开有任何按钮,我们选择扫一下目录。点击打开,看到一个登录页面需要密码。使用bp抓包爆破密码。登陆成功后得到flag。,而多字典攻击则包括。
Bugku网站
金 帛的博客
03-21 4232
Bugku之WP
bugku 网站
Seaern的博客
07-02 890
目链接 查看源码,发现用 然后就下了一个御剑开始扫后台 下载地址 扫到webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。 客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起, 然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以...
[Bugku-AWD专版]一款用于AWD比赛的自动化攻击框架.zip
09-30
这个框架的核心目标是简化比赛过程对目标系统的攻击策略和自动化执行,使得参赛者能够集精力在策略的设计和优化上,而不是繁琐的代码实现。 该框架的实现基于YML(YAML Ain't Markup Language)配置文件,这是...
Bugku-AWD专版用于AWD比赛的自动化攻击框架源码+项目说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...Bugku-AWD专版用于AWD比赛的自动化攻击框架源码+项目说明.zip
BugKu-web---程序员本地网站
MIGENGKING的博客
04-13 758
打开链接: 目提示“本地访问!”,和“localhost”’ 因此用burpsuite抓包加上加上:X-Forwarded-For: 127.0.0.1 首先: X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 接着: 127.0.0.1是回送地址,指本地...
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
bugku web 网站
l181954187的博客
03-31 261
先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了。F12看源码啥也有,用dirsearch扫一下目录看看。还提示了,估计应该限制ip了,抓包看看。使用自带全量字典扫描单个url的目录。进去看看,随便试试几个密码都不对。开始攻击,成功获得密码。输入密码得到flag。
bugku网站
qq_52718293的博客
01-10 2370
能两个点 根据提示(网站客会不会留下后门) 1.首先尝试使用御剑扫描网站的目录 ![在这里插入图片描述](https://img-blog.csdnimg.cn/bcda5f9a940e4d2cac8a88ab56eb4846.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAKuWwj-eRtg==,size_20,color_FFFFFF,t_70,g index.php shell.
BUGKU-WEB 网站
天泽岁月
02-16 610
BUGKU-WEB 网站,需要找后门文件
网站(BUGKU)
赶不上早饭的博客
10-08 1989
网站 正文 进入链接如图 查看源代码有发现什么,界面说是网站存在漏洞,用御剑扫描后台 得到一个shell.php,打开链接发现有一个webshell,需要输入密码 随便尝试输入一些弱密码admin、123456等无效后尝试用burp爆破 成功爆破得到密码为hack 输入密码得到flag ...
bugku 网站(御剑突破+bp抓包爆破)
ANYOUZHEN的博客
10-26 1942
今天我们写一道bugku上的网站,首先我们启动场景,发现网站被挂了页,这种时候,我们开启御剑进行后台扫描,如下图所示 我们从看到了shell.php,我们点进去,发现了一个后门 我们尝试输入密码1111,当然不成功了,我们开代理,进行抓包,装入字典,进行爆破 这里和大家说一下啊,这个抓包的爆破并不是和zip爆破那个一样会直接跳出来密码,我们要去观察分析它的状态和长度,本我们看到hack的长度明显和其他的密码不同,说明这个就是答案,我们输入hack,得到flag
BugKu-网站
苟有恒,必有三更眠,五更起。
08-06 452
BugKu-网站链接 http://120.24.86.145:8002/webshell/ 分析 一眼看去,什么发现,扫一下有有源码泄露之类的,结果扫除了一个shell.php 扫描.png 其实,意思就是后门了。 进入shell.php ,发现要求输入一个密码,Burp弱口令爆破即可。 爆破.png flag ...
【愚公系列】2023年06月 Bugku-Web(网站
时光隧道
06-26 5861
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置选择“Simple list”模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值