bugku web 网站被黑

最新推荐文章于 2024-05-30 12:54:24 发布
最新推荐文章于 2024-05-30 12:54:24 发布
阅读量157 收藏
点赞数 2
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l181954187/article/details/137208331
版权

F12看源码啥也没有,用dirsearch扫一下目录看看  

使用自带全量字典扫描单个url的目录
python dirsearch.py -u http://222.93.xx.xx:8090 -e*

 进去看看,随便试试几个密码都不对

还提示了,估计应该限制ip了,抓包看看

先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了

开始攻击,成功获得密码

输入密码得到flag

leoleo!
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
bugku题的web类解析
01-29
这个是我自习写的bugkuweb的解析,其中四个题因为各种原因没有做出来,分别为welcome to bugku,孙xx的博客,login2,login4。也许有写的不好的地方,见谅,
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
CTF学习第十七站——BugKu网站与头等舱
qq_41174589的博客
10-14 137
没有任何信息,我们直接用burp抓包重发看返回,直接找到flag。题目提示网站,我们用御剑扫一下看看有没有后门。经过爆破,确认密码为hack,输入得到flag。访问shell.php
bugku -- 网站--本地管理员
qq_51802152的博客
12-13 410
bugku -- 网站--本地管理员
Bugku——网站——Web
2301_77163106的博客
08-23 152
首先拿到web的题目先查看源代码(F12),发现并没有我们需要的,所以我们来扫描一下网站看看有什么隐藏目录,这里我推荐使用dirsearch,主要是简单,方便。随便输入数字发现有提示,这里猜可能是限制了登入的ip,所以打算先做个xxf伪造ip地址,用。这个是需要编译环境的大家可以查阅资料,如果不懂的可以来问小碗,随时欢迎,嘻嘻~~~大家好,我是小碗很高兴与大家分享一道web的解题思路,希望大家多多关照。喝点水等一下,你就会看到有一些我们想要知道的。加油少年郎,我在山顶等你哦~~~我这里用的是kali中的。
BUGKU-WEB 网站
天泽岁月
02-16 427
BUGKU-WEB 网站,需要找后门文件
bugku web题INSERT INTO注入.docx
05-16
bugku web题INSERT INTO注入 明确注入点,是走的http报头的x-forwarded-for。  我尝试了bool型注入,发现自己构造的语句在自己数据库中会报错,但是这里并没有错误报告,因此考虑基于时间的盲注
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web的留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
Bugku网站
m0_46583916的博客
01-01 178
首先要抓包,得用Burp Suite去截取网页的请求:在浏览器里开个代理服务器,要求和Burp Suite里的地址,端口一样。在后门页面,随机打出几个密码,随后Burp Suite会拦截请求弹出窗口(未弹出也会在下面闪)点进后门查看,然后用Burp Suite爆破密码。我们输入错误的密码时返回的请求都是一样的,但是当密码正确时,返回的请求长度就和不正确的有区别,我们只需要比较Length就行,只有hack的长度为1203,所以密码就是hack。
BUGKU 网站
qq_75120258的博客
03-02 412
打开环境,什么都没发现,使用蚁剑扫描一下,发现shell.php,打开。使用BP抓包,进行爆破。
Bugku web网站
DdddddXxxxx的博客
07-16 117
描述有相关提示 会有后面 用御剑扫描一下 有个shell.php的网址打开后 burp爆破即可 密码是 hack
【愚公系列】2023年06月 Bugku-Web网站
时光隧道
06-26 5800
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy中拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置中选择“Simple list”模式。
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 373
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 324
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
PbootCMS后台用户账号密码时进行重置工具
itfans123的博客
05-29 156
2)在浏览器直接访问访问该文件地址,然后按照页面提示输入相关信息进行重置,此处填写的“数据库配置文件”用于重置工具连接数据,如果没有做过特殊改动,一般默认即可,然后输入要重置的账号和新密码,重置后一定要记得删除该工具,切记!1)下载重置工具解压包,解压后将resetpw.php文件直接上传到网站根目录下;使用完之后一定要删除resetpw.php文件!工具用于忘记PbootCMS后台用户账号密码时进行重置。
HackTheBox-Machines--Popcorn
七天
05-28 472
Popcorn 测试过程。
建WordPress主题官网模板
最新发布
xiaoyuya
05-30 147
WordPress主题官网模板
bugku sodirty
09-03
- *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

leoleo!

您的慷慨将激励我创作更多内容

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值