hack the box[HTB]web题之FreeLancer

最新推荐文章于 2024-06-16 00:31:22 发布
最新推荐文章于 2024-06-16 00:31:22 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: hackthebox 文章标签: 安全 docker web web安全 渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/105764414
版权

FreeLancer

题目描述:

Can you test how secure my website is? Prove me wrong and capture the flag!

流程

题目描述好像并没有给什么信息,直接进入网站看看吧
在这里插入图片描述
在下方找到了输入框,感觉可以注入
在这里插入图片描述
尝试一下:http://docker.hackthebox.eu:30643?id=1
在这里插入图片描述
尴尬,思路好像错了,在F12看下页面信息,好像发现了新大陆
在这里插入图片描述
登陆http://docker.hackthebox.eu:30643/portfolio.php看下,
GET方式的请求,直接注入吧

最低0.47元/天 解锁文章
qq_39682037
关注
专栏目录
HTB Freelancer
qq_58869808的博客
06-18 337
AD域
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
热门推荐
杨秀璋的专栏
01-09 2万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,而且用户注册该网站时需要绕过关卡并获取邀请码,涉及审查元素、base64解密、发送post请求等操作,挺有意思的。这是一篇基础性文章,将讲述注册过程、遇到的难点及入门案例,希望对您有所帮助。
[HackTheBox]WEB
baguangman5501的博客
09-28 954
0x01 [50 Points] I know Mag1k 问描述: Can you get to the profile page of the admin? 访问分配的地址,是一个带注册的登入页面: 尝试常规注入,无效 来到注册页面注册,再退出,在使用已有的用户名登入会发现有一个用户名枚举的漏洞 这时的一个思路就是先通过暴力破解,枚举出管理员的用户名,然后结合二次注入注册一个类...
HTB(hack the box) FreeLancer
weixin_44215027的博客
12-21 3427
HTB(hack the box) FreeLancer 这是一道30points的web。 提示: 你能测试我的网站有多安全吗?证明我错了,拿到flag! 进入网站: 继续往下浏览: 看到了这个,难道是xss?构造后send,提示: 看来不是xss,只能继续寻找。 然后我看到了: 一个长期存在的事实是,当读者在看一个页面的布局时,他们会被可读的内容分散注意力。 会不会在源码中? 查看...
Hack The Box-Freelancer
m0_52742680的博客
06-04 3192
HackTheBox S5赛季靶场第七篇
htb_Freelancer
最新发布
weixin_62621015的博客
06-16 1038
hack the box linux
HTB Beep[Hack The Box HTB靶场]writeup系列5
重新启程
02-04 3541
是retire机器的第五台了 目录 0x00 靶场信息 0x01 信息搜集 0x02 业务探测 80端口主页:elastix freepbx 80端口mail业务:roundcube webmail 10000端口:webmin 0x03 漏洞分析 elastix roundcube webmin 0x03 web攻击 roundcube webmin elas...
HTB Lame[Hack The Box HTB靶场]writeup系列1
重新启程
02-01 2944
首先祈祷一下SARS病情尽快过去,武汉加油!湖北加油! 为了不给国家添乱,所以我在HTB订阅了VIP,准备搞下Retired Machines的靶机。 目录 0x00 靶场介绍 0x01 扫描端口 0x02 ftp服务 0x03 smb服务 0x00 靶场介绍 我们从第一个lame开始。 如何注册账号,购买vip,网上有大把文章,这里我就不再记录了。 这个系列主要是...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
hack the box[HTB]web之ezpz
qq_39682037的博客
04-27 2188
未定义变量,那么自然就是obj 手工一个个转码成base64太麻烦了,上脚本吧 没问,只需要更改payload即可。 import requests import base64 from bs4 import BeautifulSoup def injection(payload): params = { "obj": base64.b64encode(pa...
hack the box (web)
m0_38094687的博客
04-08 5419
接下来是2道web,来自hack the box。这个网站还真是厉害啊,邀请码要靠自己破解网页的一个小trick。话不多说看。 - Cartographer (30) - HDC (30) Cartographer sql注入大水 使用username='='&password='='的方式绕过 访问一下info=flag即可得到 HDC 这...
Hack the Box——FreeLancer(sql) wp
maple's的博客
01-22 448
0x00前言 忙着学习的我,继续肝下一 提示: Can you test how secure my website is? Prove me wrong and capture the flag!(您可以测试我的网站的安全性吗?证明我错了,并抓住了旗子!) 0x01访问网站 http://167.99.88.216:32583/ 首先找攻击点 0x02 攻击点 打开源码从注释中找到攻击点 <!-- <a href="portfolio.php?id=1"&gt
Hack The Box - Web - Phonebook
抒情诗
06-17 429
玩一会儿htb的challenge,最近找工作,所以先玩玩web类型的。这道目的类型有人说是LDAP注入、有人说是like注入。LDAP这玩意08年的时候估计可能比较流行,但是现在应该没多少人用了吧,比较小众。其实LDAP这个特殊的数据库是比较契合这个目的,PhoneBook(电话本)嘛。但是根据别人的分析其实又不太像,暂时就认为这个是like类型的注入。有经验的师傅可以指点一下,不胜感激。看到论坛里分享的经验,这里可以使用下面几种方式来绕过登录。登录到后台之后有个搜索功能,如图2所示。
Hack The Box Web Pentest 2019
weixin_30519071的博客
07-30 895
[20 Points] Emdee five for life [by L4mpje] 问描述: Can you encrypt fast enough? 初始页面,不管怎么样点击Submit都会显示"Too slow!" 依据Html源码,编写Python脚本进行利用 import requests import hashlib import re...
hack the box[HTB]web之Fuzzy
qq_39682037的博客
05-11 1917
gohb@gohb:~/桌面$ gobuster dir -u http://docker.hackthebox.eu:30568/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt gohb@gohb:~$ gobuster dir -u http://docker.hackthebox.eu:30568/ap...
Hack The Box - Web Requests Module详细讲解中文教程
技术分享
07-24 351
Hack The Box - Web Requests Module详细讲解中文教程
hack the box challenge-web-HDC writeup
qq_43200143的博客
11-24 306
任务目标: We believe a certain individual uses this website for shady business. Can you find out who that is and send him an email to check, using the web site's functionality? Note: The flag is not an e-mail address. 寻找到正确的邮箱,然后给他发消息。 1.寻找突破口 首页进入后是这个.
Hack The Box -----------------------Waldo
大方子
12-16 1337
这次的靶机是Hachthebox的靶机 IP地址为:10.10.10.87 ================================================================================================ 先用Nmap对目标机器进行扫描  nmap  -sV 10.10.10.87 -sT -o hawk.txt 然后我...
hackthebox
09-11
Hack The Box (HTB) 是一个在线的渗透测试和网络安全训练平台。它提供了一系列虚拟机,供用户尝试攻击和入侵。用户可以通过解决一系列的密码学、网络、应用程序等挑战来增强他们的渗透测试技能。HTB 的目标是帮助用户了解真实世界中的网络漏洞和攻击技术,并提供一个安全的环境来进行学习和实践。 请注意,使用 Hack The Box 平台进行未经授权的攻击是违法的。这个平台仅用于合法的学习和研究目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值