WEB:ics-06

最新推荐文章于 2024-11-03 07:55:42 发布
最新推荐文章于 2024-11-03 07:55:42 发布
阅读量64 收藏
点赞数
分类专栏: 攻防世界 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/131916983
版权
文章描述了一位安全研究员使用BurpSuite工具进行网络攻防演练的过程。首先,他尝试通过查看报表中心的源代码获取信息,然后注意到URL中的id参数。在日期选择无效后,他决定利用BurpSuite抓包并设置有效载荷进行ID的爆破测试。通过将id从1改为2333,成功得到了flag,揭示了系统的一个可能漏洞。
摘要由CSDN通过智能技术生成

背景知识

        burpsuite的使用

题目

所有都尝试点了一遍,只有报表中心可以打开

先查看源代码,没有发现有用的信息

 

选择了日期范围但是毫无反应,这里发现url中有一个id=1,尝试抓包爆破

 使用bp进行抓包

 设置有效载荷配置,开始爆破

 

将id=1改成id=2333

 

得到flag

参考学习链接:

攻防世界ics-06_淡巴枯的博客-CSDN博客 

 

sleepywin
关注
专栏目录
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4667
尝试
ctf-攻防世界-webics-06
一只菜鸟的博客
11-15 571
先看提示,只有一处留下了痕迹。 打开场景,发现除了这个报表中心,其他点了都没什么反应。那就来报表中心看看吧。 报表中心似乎也没有什么功能点,开启burp发现不论是更改日期还是点击确认,都不会发出数据包。还赤裸裸写了“送分题”,可恶欸! 无奈,求助于wp,才发现正解,可我觉得这道题思路着实是有点歪了。 秘密藏在报表中心的url之中。 url之中有一个id的参数,使用burp爆破id可得到flag,具体操作如下: 将该页面抓的包点击右键,send to intruder...
攻防世界Webics-06
Light_inthe_eyes的博客
10-12 131
打开页面,发现只有报表中心能点击 : 进入报表中心,发现url里有一个id: 果断使用暴力破解id,发现长度不同的值: 将id=2333,得到flag: 总结: 暴力破解
【攻防世界-webics-06
weixin_73625393的博客
10-28 1308
点击【设置】后,将代理改为【手动配置代理】,将HTTP代理内容改为在brupsuite中查看到的代理ip,更改完后点击【确定】框3是对可疑的数据进行暴力破解,需要将它做个标识,将光标放到1前,然后按框4的键,对1标识进行暴力破解,鼠标右键,点击【Send to Intruder】发送到【Intruder】,快捷键为【Ctrl+l】方法一:打开【设置】后,在【常规】中,翻到最下边,找到【网络设置】,打开【设置】返回下图界面,进行设置,设置完成后,按框5,执行。点击框5后,破解,下图为正在破解中。
攻防世界webics-06:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
bjml_的博客
10-29 418
ics-06:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。
攻防世界_WEBics-06
qq_46110224的博客
08-15 163
点了一遍所有的按钮,只有报表中心点击后有页面跳转,从此处下手。 试试选了选时间,好像没啥反应啊。但是他显示送分题 地址栏那里id为1,思考一下,报表的时候每个人的id是不一样的,可能哪个人会在这里留下痕迹,所以进行id爆破,反正也没有验证,可以进行任意爆破。 使用burp抓包,将抓到的发送到intuder。 选中要进行爆破的地方。 将值设为number,并且从一开始,最大值任意,我设的比较大。 最后看回显,只有2333的时候回显长度不同 将id输入2333,得到flag cyberpeace{565e7.
攻防世界-web引导模式-ics-06
Xiangdian_的博客
10-20 171
进行爆破,爆出2333,可以看到这个数据长度与其他的是不一样的,查看响应返回数据包可得flag。云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。点击进入,可以看到下图。
攻防世界,Webics-06
Pai_Space
05-04 271
云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,只有一处留下了入侵者的痕迹。 只有云平台报表中心能进入 日期更改 url 的 id 不变,爆破参数可以爆出一个
【攻防世界WEB】难度五星15分进阶题:ics-07
07-24 618
【攻防世界WEB】五星15分
【攻防世界】ics-06
xshzgjshpy1的博客
08-20 274
最后试了下,是id用burpsuite爆破。进入后点了点,左边只有一个报表中心能打开。看到网址后面有个id的参数。进去后选时间,没什么用。
ics2web:ICS 网络设施
07-09
ics2web 一个用于处理 ical 文件的小 api 推介会 这个项目的目标很简单:一个用于从 ical 文件返回当前事件、下一个事件等的 JSON 对象的轻量级 API。 该项目的目的是能够简单地获取有关特定日历的信息,以便在不同...
ics-portfolios.github.io:ICS产品组合主页
05-24
一个简单的Web应用程序,用于显示ICS部门的学生,教职员工的专业作品集。 安装 首先, 。 其次,在本地安装update_ics_portfolios Shell脚本: npm install sudo npm link 要测试您的安装,请调用update_ics_...
WEB-APP:ICS 113 Web 应用程序项目
06-11
ICS 113 Web 应用程序项目 ICS 113 Web 应用程序项目 - 2CSB People Helping People Foundation 前端开发人员:Cancio、Kyle Cedrick R。后端开发人员:Suarez、Jessie James P. 更新 1.3 改造后的布局 添加了...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8531
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2024年自学手册 网络安全(黑客技术)
2401_85027424的博客
10-31 960
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1237
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业应该采用和支持网络安全的几个实践
QQ3007250950的博客
10-31 986
总之,虽然这些实践乍一看很简单,但网络安全工程师必须记住它们的重要性。有时候,好的解决方案是最简单的。有了复杂的政策,就会产生混乱,这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时,效果会更好。
【知识科普】常见网络安全问题以及应对方式
最新发布
wendao76的专栏
11-03 347
通过实现。
Juniper网络安全
swqd123456的博客
11-01 435
瞻博网络高级威胁防御 (ATP) 是网络的威胁情报中心,配备一系列内置的高级威胁服务,可借助 AI 和机器学习功能检测攻击并优化实施。Junos 以其高度可靠和可扩展的特性而闻名,具有丰富的网络功能和管理工具。3、SRX防火墙: SRX系列是Juniper的安全设备,用于提供高级网络安全功能,包括防火墙、 入侵检测和防御、 虚拟专用网络(VPN)和流量分析等。总而言之,Juniper提供了一系列的网络产品和解决方案,以满足企业和服务提供商的需求,并帮助他们构建和管理高性能、安全和可靠的网络基础设施。
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值