CTF练习题——bugkuCTF 网站被黑题目思路分析

最新推荐文章于 2024-09-18 22:14:05 发布
最新推荐文章于 2024-09-18 22:14:05 发布
阅读量3.3k 收藏 1
点赞数
分类专栏: CTF 文章标签: 安全 web安全 网路安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22903531/article/details/121309782
版权
博主分享了自己在解决WEB漏洞题目时的经历,通过使用御剑扫描工具发现了一个后门网址。在Burpsuite的帮助下,成功破解了后台密码,获取了KEY,实现了夺旗目标。整个过程展示了对网络安全和渗透测试技术的运用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

今天继续战斗WEB漏洞题目,好好学习天天向上。

拿题目

拿过来题干是:网站被黑了,黑客会不会留后门。

分析题目

根据题干提示和下面的页面提示,这个题目肯定是需要找到后门的,那我们就应该朝着后门的思路去尝试一下。

 那这样,我们就先拿御剑扫描一下吧,扫描速度和你电脑配置有关,这个时候可以去厕所尿尿,回来看看。扫描完成后如下,我们可以看到个后门网址。

打开网址后会发现一个后台需要输入密码。那我们就就直接Burpsuite吧。

Burpsuite如何使用在这里就不讲了。最后得到PASS,还是挺简单的。

 得到结果

把密码输入上得到KEY。

夺旗成功

CTFBugku网站
weixin_41607190的博客
09-25 9932
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
BugKuCTF中套路满满的题--------网站
qq_42133828的博客
12-07 2742
题目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主题:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit中的Intrude...
BUGKU-WEB 网站
天泽岁月
02-16 751
BUGKU-WEB 网站,需要找后门文件
BugkuCTF-WEB网站
am_03的博客
08-25 229
利用御剑扫描后台或者通过dirsearch扫描一下目录看看 得到http://1147.67.246.176:15607/shell.php 打开这个网址 发现需要登录密码 通过Burp添加字典爆破密码为hack 输入得到flag
Bugku CTF 矛盾 网站
Welcome To Myon'Blog !
05-29 696
PHP弱类型比较,shell.php,Bugku CTF 矛盾 网站
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6936
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
CTF BugKu平台——Crypto篇刷题记录(后续更新)_抄错的字符 ctf
最新发布
2401_87204876的博客
09-18 1430
前言 记录一下密码学的刷题记录 也是为了更好的巩固自己 基本有的解码 都附有超链接 希望大家能顺利通关 感谢观看!描述: 老师让小明抄写一段话,结果粗心的小明把部分数字抄成了字母,还因为强迫症把所有字母都换成大写。你能帮小明恢复并解开答案吗:QWIHBLGZZXJSXZNVBZW解码网站:http://www.hiencode.com/railfence.html 解码网站:https://www.splitbrain.org/services/ook解码网站:http://www.hiencode.com
2021 BugKu CTF AWD排位赛真题解析
BugKu 2021 CTF AWD排位赛真题涵盖了信息安全领域中一项重要的技能竞技——Capture The Flag(CTF)的高级竞赛部分,即AWD(Attack With Defense,攻防对抗)模式。该模式特别强调攻防兼备的技能,要求参赛者在进行...
BugKuCTF(CTF-练习平台)——代码审计-strcmp比较字符串
Ifish的博客
04-27 3560
题目描述 解题 strcmp漏洞 int strcmp ( string str1,stringstr1,stringstr1 , string str2 ) str1是第一个字符串,str2是第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。 但是如果我们传入非字符串类型的数据的时候,...
BugKuCTF(CTF-练习平台)——Crypto-一段Base64
Ifish的博客
03-10 3279
题目描述: 题目解答: 1)思路: 下载base64.txt文件,发现一大段加密文字 2)解密:    
bugku:POST、头等舱、网站、alert、你必须让他停下、本地管理员、bp
lulu001128的博客
03-01 2043
解题过程
【愚公系列】2023年06月 Bugku-Web网站
时光隧道
06-26 5904
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy中拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置中选择“Simple list”模式。
bugku 网站/管理员系统/WEB4/输入密码查看flag 题目详解
夜车星繁的博客
05-22 2172
网站 来到了bugku;打开“网站”这道题; 页面如图; 接触此类题目,一般从后台扫描方面考虑; 御剑后台扫描工具 链接: https://pan.baidu.com/s/1bebPE9aNEVnV1_o1fgAMvA 提取码: w46z 扫描http://123.206.87.240:8002/webshell/结果如下,发现后台一个网站: 打开这个网...
bugku 网站(御剑突破+bp抓包爆破)
ANYOUZHEN的博客
10-26 2030
今天我们写一道bugku上的网站,首先我们启动场景,发现网站被挂了页,这种时候,我们开启御剑进行后台扫描,如下图所示 我们从中看到了shell.php,我们点进去,发现了一个后门 我们尝试输入密码1111,当然不成功了,我们开代理,进行抓包,装入字典,进行爆破 这里和大家说一下啊,这个抓包的爆破并不是和zip爆破那个一样会直接跳出来密码,我们要去观察分析它的状态和长度,本题中我们看到hack的长度明显和其他的密码不同,说明这个就是答案,我们输入hack,得到flag
新版BUGKU-web题目-web11-网站客会不会留下后门
weixin_38131137的博客
01-06 1133
网站客会不会留下后门 这种话就是留下后门了 不过并不是正常认知中的后门,指的是后台管理 之前被这道题难住了很久,后面自己实战多了,发现没有那么难 如果bp和代码发现不了问题,另一个简单的方法就是御剑扫描 这里我的库太大了,联想到flag一般是PHP的,所以直接永PHP来扫描 进入爆破环节,想到应该没有多复杂的密码,直接永bp的密码库就可以了 直接得到爆破密码hack,得到flag{5e259630c9265cc750e462a7158c01ab} ...
Bugku CTF-web11 网站
weixin_44023403的博客
04-24 574
Bugku CTF-web11 网站了解题 解题 用御剑扫一下网站后台敏感目录,直接输入网站,点击开始扫描; 当打开http://XXXX.XX/shell.php,发现是后台网址; 再用burpsuite暴破webshell密码,先输入任意代码抓包,之后发送intruder进行暴破; 设置变量; 导入字典; 开始暴破; 这就体现到平时积累常用字典的重要性,字典用的准,很快就会发现hack的返回的length值和其它的不一样,密码就拿到了。 输入密码hack,flag值就展示出来了。
CTF学习第十七站——BugKu网站与头等舱
qq_41174589的博客
10-14 323
没有任何信息,我们直接用burp抓包重发看返回,直接找到flag。题目提示网站,我们用御剑扫一下看看有没有后门。经过爆破,确认密码为hack,输入得到flag。访问shell.php。
web11:网站客会不会留下后门
y17861077326的博客
01-29 383
这个主要就是御剑先扫到后门,然后发现要密码。。若干参数请求无果后,只能试试密码爆破了,结果burpsuite的自带字典就可,(害,俺的burpsuite社区版怎么没有自带字典。。。那个simpe list的playload count是0.。。好难受。。)。 反正还是印证了之前总结的个普通思路:有事没事先扫扫后门,看看情况再说。 ...
bugku web11 网站客会不会留下后门
PRCORANGE的博客
04-08 350
打开题目: 按照习惯打开F12 并没有得到有用信息,由题目猜测网站还有其他入口,使用御剑后台扫描该网站 发现shell.php 随便输入一个密码,使用bp抓包,发现密码是明文传输 尝试开始爆破 多试几个字典 得到密码hack 得到flag ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jum朱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值