bugku-web-留言板

最新推荐文章于 2024-04-03 11:11:10 发布
最新推荐文章于 2024-04-03 11:11:10 发布
阅读量4.6k 收藏 11
点赞数 4
文章标签: 安全 dirsearch 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57954651/article/details/127621060
版权

 留言板?第一反应就是XSS 或者跨站脚本攻击

 确定为XSS 

 (说点什么)“说”了就会记录下来    简单测试下

 利用工具跑一下这个网页  (dirsearch)

得到了登录页  admin.php

 需要用户名和口令   在我们跑出的另一个文件里  db.sql  (db.sql建议多pao几次  还可进行burp suite爆破)

访问  会得到一个sql文件 

 底部存在一组 user passwd

尝试一下 

 回显了我们刚刚上传的 script 代码  

构造一个获取cookie的js代码   尝试一下  (<script>alert(document.cookie)</script>)

 再次进行回显

 得到flag

:Carmelo Anthony
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 看到url上的参数有base64,解码发现是key.txt 把改参数换成index.php,观察发现line按行返回 所以自己练练手写了个脚本跑出来
web留言板
06-06
Web留言板 (0分) 设计一个简单的基于Web留言板,要求如下:1)系统中所有页面,如果用户没登录,则让用户返回到登录页面login.jsp(说明:login.jsp页面填写用户的用户名和密码);2)留言板(message.jsp)页面中...
BUGKU-WEB 留言板1
天泽岁月
02-18 929
BUGKU-WEB 留言板1,xss双写绕过
JavaWeb+MySQL实现简易留言板(详细的很
最新发布
2401_83916435的博客
04-03 1182
总体来说,如果你想转行从事程序员的工作,Java开发一定可以作为你的第一选择。但是不管你选择什么编程语言,提升自己的硬件实力才是拿高薪的唯一手段。如果你以这份学习路线来学习,你会有一个比较系统化的知识网络,也不至于把知识学习得很零散。我个人是完全不建议刚开始就看《Java编程思想》、《Java核心技术》这些书籍,看完你肯定会放弃学习。建议可以看一些视频来学习,当自己能上手再买这些书看又是非常有收获的事了。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!
BUGKU-WEB 留言板
天泽岁月
02-07 1029
BUGKU-WEB 留言板
Bugku——web
chongya927的博客
03-05 1281
菜鸟学习CTF之路
【愚公系列】2023年06月 Bugku-Web留言板
时光隧道
06-23 6965
使用dirsearch进行目录爆破的步骤如下:下载dirsearch工具:可以从Github上下载dirsearch,或者使用命令行工具进行安装。打开dirsearch工具:在命令行中输入python3 dirsearch.py命令,即可打开dirsearch工具。设置目标URL:在命令行中输入目标URL,例如:python3 dirsearch.py -u http://example.com。
BUGKU 留言板
热门推荐
qq_56313338的博客
07-22 2万+
bugku 留言板的解题思路 web
BugKu:Web
qq_50034496的博客
07-30 1706
BugKu:Web
bugkuCTF
Vincent0sen的博客
10-26 457
有时间再说,持续更新。
Bugku-留言板
qq_56611811的博客
05-07 680
1.提示我们用xss平台接收flag2.通过xss.pt平台生成脚本,以插入图片形式将图片地址上传 3.回到xss平台可以看到接收到flag4.URL解码一下,拿到flag
留言板
weixin_53150482的博客
08-08 1572
留言板
web前端留言板代码包
04-28
web前端留言板代码包
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
Bugku-AWD专版】是一款专为AWD(Attack With Defense)比赛设计的自动化攻击框架,它旨在帮助参赛者更高效地进行攻防对抗。这个框架的核心目标是简化比赛过程中对目标系统的攻击策略和自动化执行,使得参赛者能够...
Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
bugku-ctf
weixin_53562844的博客
05-05 302
这里我也是试了这个平台的很多url,最后成功的是上面那个,可能是xss平台有些url用不了,又可能是我操作不当,反正多试几个,多试几次。dirsearch进行目录扫描,发现admin.php登录接口,默认用户名admin,但不知道密码,这里我利用不了。因为看到好多人都说没回显,就做一下记录,希望能帮到更多人。直接复制里面的代码,这里过滤空格和script。这里已经看到xss平台有回显了。
bugkuCTF Writeup (Web)36-40
Troublor的博客
02-01 3102
求getshell 文件上传绕过 上传一个php文件 用burp抓包 头部的Content-Type改成Multipart/form-data大小写绕过 请求内容里的Content-Type改成image 文件名改成php5 就绕过了 不太明白Multipart/form-data这里为什么变成大写能绕过,网上查也没查到,似乎并没有人关心multipart/form-dat
web前端开发设计-----------精美留言板
m0_75031232的博客
06-15 9840
利用javascript设计精美留言板,很详细。
bugku chatgpt-1
10-09
ChatGPT是一种由OpenAI训练的大型语言模型。它的原理是基于Transformer架构,通过预训练大量文本数据来学习如何生成人类可读的文本,然后通过接受输入并生成输出来实现对话。 ChatGPT的用途非常广泛,可以用于自然语言处理(NLP)任务,如对话生成、问答系统、文本生成等。 如果你想使用ChatGPT,你可以用它来构建对话机器人,回答问题,生成文本等。它的应用非常广泛,可以用于各种场景,如客服、帮助提供者、教育机构等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值