HackThisSite/Basic 4解决方案

最新推荐文章于 2023-12-18 10:31:13 发布
最新推荐文章于 2023-12-18 10:31:13 发布
阅读量1.2w 收藏 1
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liushu_it/article/details/18654653
版权

细节决定成败!

在正式进入黑客闯关界面之前我们可以看到一个tips:

An email script has been set up, which sends the password to the administrator. Requirements: HTML knowledge, an email address

说明他写了一个把密码发送到他邮箱的脚本,需要掌握html知识和一个邮箱地址。

This time Sam hardcoded the password into the script. However, the password is long and complex, and Sam is often forgetful. So he wrote a script that would email his password to him automatically in case he forgot. Here is the script:

这个思路就很简单了,肯定是要篡改他的地址,把密码直接发送到我们的邮箱。

直接把发邮件的from拷贝下来,在本地新建一个html文件,修改如下:

<form action="https://www.hackthissite.org/missions/basic/4/level4.php" method="post">
    <input type="hidden" name="to" value="你的邮箱地址">
    <input type="submit" value="Send password to Sam">
</form>


然后就打开这个htm,按send password to Sam按钮,然后到自己的邮箱去收密码吧,哈哈。

219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3624
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
看了 web.dev 的 631 篇博客,我总结了这些内容
卤蛋实验室
07-08 667
https://web.dev/ 是一个 Google 官方推出的一个面向 Web 开发者的网站,里面有非常多的教程和最佳实践,非常适合有性能优化诉求的开发者去浏览和学习。
Hack this site realistic4
daydayupergouzi的博客
09-18 999
Hack this site realistic 4 这一关是让你帮忙给一个做皮草的网站一点颜色看看,帮忙获取客户的邮箱,给他们发邮件告诉他们别买皮草; 这一关刚开始看到的时候,想到了应该是sql注入,但是技术不行,不知道怎么搞; 搜了一下,学了学别人的方法,总结了一下逻辑和过程: 首先看界面: 有产品展示页面,有添加邮件功能 随便输入错误的邮箱,发现有重要的提示,有一个表Email: 在产品展...
Hack this site basic 4
daydayupergouzi的博客
09-06 371
练习Hack this site basic 4的内容 界面如下,描述开发人员为了防止忘记密码,设置了一个给自己发送密码到邮箱的功能: 查看源代码发现,有一个邮箱, 猜想能不能把邮箱换成自己的,于是,保存网页,使用txt或者ultra edit 编辑网页,把邮箱修改成自己的: 然后,点击发送密码,邮箱收到了密码邮件: 于是通关了,又学到一点知识...
hackthissiteBasic 4 请交出你的邮箱
最新发布
xshzgjshpy1的博客
12-18 508
2、web前端通过获取用户的输入信息,get方式简单的在url里传递,或者是post打包发送,现在很多是json数据包的传递方式。传递给后端,后端再进行数据的处理,最终呈现结果。但是渗透的本质方式之一也就是通过获取到关键的值并进行修改,只不过难度会随着网站搭建安全系数的提高而提高。师Sam给脚本里的密码硬编码了,然而,密码又长又复杂,Sam老是忘记。于是他写了个脚本,一旦他忘了,脚本就可以自动把密码用邮件发给他。那么也就是说,这个请求会发送给脚本,脚本通过传递过来的value属性确定要发送给谁。
Hack This Site JavaScript 4
记录、总结
02-04 813
Hack This Site JavaScript 4 题目描述: 解题思路: 我们可以先从题目着手,题目给出var?的提示,还说什么试图要欺骗我们,让我们做很多的无用功。我们来看密码提交页面的代码,发现如下代码: 如果你懂得JavaScript中var的作用,并且知道定义变量的知识,那么看了JavaScript中check函数的代码之后,你可能认为密码应该是hack_this_site,等我...
hack this site--level 4&5
qq_27181999的博客
06-12 841
这一次傻Sam为了怕自己忘了密码就增加了一个把自己密码发送到自己邮箱的按钮。。。但是直接把网页代码保存到本地,然后修改成自己的邮箱,再发送就可以把密码发到我们自己的邮箱了。。 Password:
DHCP及cobbler系统自动化部署
FlamencaH的博客
06-15 3090
系统自动化系统部署 系统安装过程 # CentOS系统安装 系统启动流程: bootloader --> kernel(initramfs) --> rootfs --> /sbin/init system-config-kickstart工具 下载安装system-config-kickstart [root@localhost ~]#yum install system-config-kickstart -y 运行system-config-kickst
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 964
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
django重定向_Django重定向最终指南
cumei1658的博客
07-14 3472
django重定向When you build a Python web application with the Django framework, you’ll at some point have to redirect the user from one URL to another. 当使用Django框架构建Python Web应用程序时,您将不得不将用户从一个URL重定向到另一个U...
Hack This Site Realistic 4
记录、总结
02-02 2089
Hack This Site Realistic 4 题目描述: 解题思路: 首先点击题目当中的链接我们来到如下页面: 在这里我们可以看到两个商品链接,点进去发现是买大衣和皮鞋的,值得我们注意的是,这两个链接的URL中都有category,这个词的意思是种类,我们马上就可以直到这一题要用SQL注入的方法来解决。 我们可以在categoriy=1页面的URL后面分别添加如下代码:Order...
Hacksite安全漏洞笔记(持续更新...)
lym_ming的专栏
07-17 383
1.源代码注释暴露密码<!-- the first few levels are extremely easy: password is 7912e368 --> <center> <b>password:</b><br> <form action="/missions/basic/1/index.php" method="post"> <input type="password" name="pa
HackThisSite(Basic missions level1-11)攻略
weixin_46219841的博客
02-12 3030
Level 1 第一关很简单 直接查看源代码 可以看到密码已经写在注释里了 复制粘贴 pass (复制的时候注意空格) Level 2 Network Security Sam set up a password protection script. He made it load the real password from an unencrypted text file and compare it to the password the user enters. However, he negl
python-stem Tutorial(4) 隐藏服务
以笔为剑的唐吉坷德
05-25 5024
隐藏服务(Hidden Services): ——乘船渡彼岸官方教程网址:https://stem.torproject.org/tutorials.html隐藏服务顾名思义,就是可以为你提供一种不会暴露本人地址的服务。这些服务只能通过Tor或者Tor2web进行访问,足以让你大开眼界。 1,托管一个匿名网站。这大概是我们想到的第一件事,我将会很快将他演示。 2,在不退出Tor网络的前提下,提供
hack this site learn -----> Basic missions
theOldDream 的博客
11-21 2660
一、 Level 1 (the idiot test) This level is what we call "The Idiot Test", if you can't complete it, don't give up on learning all you can, but, don't go begging to someone else for the answer, thats
The Password Reset MitM Attack 翻译 (谷歌)密码重置中间人攻击
康雨城
12-27 1万+
The Password Reset MitM Attack 密码重置中间人攻击
hackthissite basic 1-11
KAZEYOMI的博客
11-27 2725
//url:www.hackthissite.org Level 1(the idiot test) This level is what we call "The Idiot Test", if you can't complete it, don't give up on learning all you can, but, don't go begging to
Tor
热门推荐
Leesire的专栏
12-18 4万+
先打开这个网站  https://bridges.torproject.org/   Step #1:下载Tor浏览器 Step #2:获取bridges Step #3:在Tor浏览器上添加网桥 Step #4:调出项目结构管理区域  把网桥全部复制进去 在点击连接   注:连接第一次的时候比较慢   -End- 暗网搜索引擎 http://www.onion.l
Hack This Site(Level 1-6)
周公子的博客
06-16 9278
不废话了,直接从Basic开始。LEVEL 1:很简单,由题意基本可以知道,密码就在HTML里,查源码,搜password,就出来了。LEVEL 2:能读懂的就没什么疑问了,忘记上传密码的文件了,显然服务器程序没办法从文件中取到值,也就是取到的为NULL,直接空密码过。LEVEL 3:一开始没怎么明白,不明白就看源码就对了。定位到提交按钮,发现有个type为hidden的标签,后面显然是一个地址,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值