BugkuCTF-WEB-网站被黑

最新推荐文章于 2024-08-18 00:38:43 发布
最新推荐文章于 2024-08-18 00:38:43 发布
阅读量922 收藏 1
点赞数
分类专栏: BugkuCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34449006/article/details/84113184
版权

 

打开题目,发现这个黑页挺炫酷的- -

解题思路:
打开链接是一个黑页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧

 扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后

 开burp进行爆破,这里选择Simple list,字典选择burp自带的Passwords

 

 

成功爆破,密码就是hack啦

登录webshell,flag出现

over

 

 


 

Jaychouzz_k
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF之Bugku网站
weixin_41607190的博客
09-25 9773
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1959
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
Bugku-网站
热门推荐
小水池
08-10 6万+
网站 http://120.24.86.145:8002/webshell/ 这个题没技术含量但是实战中经常遇到 解题思路: 打开链接是一个页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧  扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后  开burp进行爆破,这里选择Simple l...
CTF之网站
qq_74263993的博客
07-28 444
发现了/shell.php文件,访问一下,发现是一个后台管理登录页面。别无他法只能爆破喽,爆破后发现密码是hack。简单看一下网页和源码没发现什么明显漏洞。
BUGKU-WEB 网站
天泽岁月
02-16 552
BUGKU-WEB 网站,需要找后门文件
Bugku 网站
ChenZIDu的博客
04-13 562
后台扫描+爆破 进入网页看到一个画面 发现没什么内容,利用御剑工具进行后台扫描: 出来两个网址,点击下一个进入到一个网页 随机输入密码,发现不对,利用Burp抓包该网页, 进行爆破 点击这个添加一个passwords,点击右上角start attack 开始进行爆破。 首先要输入一次密码! 爆破结果hack,输入得到flag: ...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4186
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
Bugku--CTF-- 1、本地管理员 2、网站
记录笔记
07-07 1275
Bugku--CTF--1、本地管理员 2、网站
BugKuCTF WEB
让我再浪一会 的博客
11-24 838
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 6470
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
网站(BUGKU)
赶不上早饭的博客
10-08 1968
网站 正文 进入链接如图 查看源代码没有发现什么,界面说是网站存在漏洞,用御剑扫描后台 得到一个shell.php,打开链接发现有一个webshell,需要输入密码 随便尝试输入一些弱密码admin、123456等无效后尝试用burp爆破 成功爆破得到密码为hack 输入密码得到flag ...
BugkuCTF-web-网站 writeup
会下雪的晴天
07-09 1064
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 个人收获:御剑拿后台,bp爆破 ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 题目描述 解题思路 解题链接:http://123.206.87.240:8002/webshell/ 打开链接有...
BugkuCTF网站;管理员系统;web4
s0il的博客
01-27 1339
网站 后台扫描工具(第一次用),御剑扫描:                  除了我们看到的index.php,还有shell.php: 访问一波,要密码,flag应该隐藏在这个密码后边:                                                    用Burp suite爆破: 浏览器选择burpsuite代理,打开监视,访问网站,输入密...
BugKu-网站
苟有恒,必有三更眠,五更起。
08-06 437
BugKu-网站 原题链接 http://120.24.86.145:8002/webshell/ 分析 一眼看去,没什么发现,扫一下有没有源码泄露之类的,结果扫除了一个shell.php 扫描.png 其实,意思就是后门了。 进入shell.php ,发现要求输入一个密码,Burp弱口令爆破即可。 爆破.png flag ...
BugKu_网站
Kobalos的博客
07-28 405
网站 访问目标地址,发现是一个页 再根据描述中说的可能会有后门,猜测可能存在webshell,扫描目录发现shell.php 访问shell.php,发现是个webshell 爆破webshell的密码,发现密码是“hack” 在webshell中输入密码,成功得到flag ...
bugku 网站/管理员系统/WEB4/输入密码查看flag 题目详解
夜车星繁的博客
05-22 2074
网站 来到了bugku;打开“网站”这道题; 页面如图; 接触此类题目,一般从后台扫描方面考虑; 御剑后台扫描工具 链接: https://pan.baidu.com/s/1bebPE9aNEVnV1_o1fgAMvA 提取码: w46z 扫描http://123.206.87.240:8002/webshell/结果如下,发现后台一个网站: 打开这个网...
bugku web 网站
l181954187的博客
03-31 235
先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了。F12看源码啥也没有,用dirsearch扫一下目录看看。还提示了,估计应该限制ip了,抓包看看。使用自带全量字典扫描单个url的目录。进去看看,随便试试几个密码都不对。开始攻击,成功获得密码。输入密码得到flag。
Bugku-web-网站
最新发布
weixin_57524749的博客
08-18 557
代理开启抓包-----》发送到攻击模块-----》密码位置添加payload-----》攻击类型为狙击手。来到payload中-----》从文件加载------》添加密码字典-----》开始攻击。可以看到他有一个index.php地址。打开没有任何按钮,我们选择扫一下目录。点击打开,看到一个登录页面需要密码。使用bp抓包爆破密码。登陆成功后得到flag。,而多字典攻击则包括。
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值