BUUCTF [强网杯 2019]高明的黑客

最新推荐文章于 2024-07-26 15:13:12 发布
最新推荐文章于 2024-07-26 15:13:12 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: CTF 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42158602/article/details/103977841
版权
博客介绍了参与BUUCTF比赛时遇到的挑战,主要内容涉及寻找可用shell,探讨编写代码解决问题的过程。博主尝试用Python3编写解决方案,但未成功,怀疑是电脑性能限制。分享了一段大佬的Python2代码,并表达了通过这次经历学习到的Python爬虫、正则表达式和进程池知识,鼓励自己继续努力。
摘要由CSDN通过智能技术生成

在这里插入图片描述
根据提示在url/www.tar.gz拿到源码

在这里插入图片描述
随便打开几个看看
在这里插入图片描述
有很多shell 不过都是些不能用的 应该就是找到能利用的shell了 看来这道题就是考察写代码的能力了 自己写的(python3)

import os
import re
import requests
from multiprocessing import Pool
filePath = "E:\phpstudy_pro\WWW\src"
url = "http://127.0.0.1:8003/"

# 读取当前目录的文件
def readFileName():
    return os.listdir(filePath)

# 得到当前文件的get请求,post请求
def getReq(fileName):
    f = filePath + "\\" + fileName
    file = open(f, 'r')
    file_data = file.read()

    # get请求
    rpGet = re.findall("_GET\['(.*?)\'", file_data)
    # print(rpGet)

    # post请求
    rpPost = re.findall("_POST\['(.*?)\'", file_data)
    # print(rpPost)
    file.close()
    # 请求验证
    isSuccess(fileName, gets
最低0.47元/天 解锁文章
Fstone2020
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf web [强网杯 2019]高明黑客
m0_46412682的博客
07-20 662
buuctf web [强网杯 2019]高明黑客 开始的页面 既然页面上有提示,我们就输入www.tar.gz 有文件压缩包,我们下载下来,压缩打开后,有几千个文件 这里我们随便打开一个文件,这里有很多shell,但是很多是用不了的,所以要用python来测试,不可能手动 import requests import os import re import threading import time session = requests.Session() session.keep_
BUUCTF】[强网杯 2019]高明黑客
aoao331198的博客
04-26 2351
拿到的源码有3000多个文件,所有文件都是杂乱的 网上wp感觉对题目的理解部分讲解较少,结合蚁剑工具,我觉得题目意思像是说这里面的文件是一句话木马,我们要找到合适的GET或POST参数能执行shell命令。 用脚本暴力跑完所有文件的所有参数,技术不行,只能贴别人的代码 import os import requests import re import threading import time print('开始时间: '+ time.asctime( time.localtime(time.ti.
[强网杯 2019]高明黑客
最新发布
weixin_73399382的博客
07-26 229
转,方便以后我自己看。
CTF-BUUCTF-Web-[强网杯 2019]高明黑客
qq_42404383的博客
01-01 768
CTF-BUUCTF-Web-[强网杯 2019]高明黑客 如题: 解题: 没看到其他任何提示,直接down下源码 我的娘哦!这要看到何时去? 盲猜大概要自己写脚本,然后分析代码 [致敬大佬,借用脚本]: https://blog.csdn.net/xiayu729100940/article/details/102676405 import os import requests impor...
BUUCTF[强网杯 2019]高明黑客
qq_44749590的博客
06-08 542
高明黑客BUUCTF
buuctf-web-[强网杯 2019]高明黑客1
mlws1900的博客
08-20 424
解题思路就是用get和post对所有文件进行挨个传参,一句话返回一个预定的值就利用该文件来获取flag。借其他大佬的脚本一用(跟扫目录返回状态码一个思路)直接复制www.tar.gz下载源码。打开发现很多个php文件。随机打开一个,观察源代码。利用以下payload。
[强网杯 2019]高明黑客 1
shinygod的博客
03-06 832
知识点:脚本编写能力 下载文件,并解压文件。 windows可以直接winrar解压,Linux:tar -xzvf file.tar.gz //解压tar.gz 有几千个文件随便访问 有一堆没用的参数,所以这题一个要从几千个文件找那个可以实现一句话木马的地方。 怎么用脚本实现呢?一头雾水,这边用别的师傅的脚本 import os import requests import re import threading import time print('start: '+ time.ascti
BUUCTFweb强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BasicASM.s(BUUCTF
06-04
分析过程文件
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
BUUCTFWEB-高明黑客
迷风小白
06-25 6808
高明黑客 下载www.tar.gz 发现是很多混乱的shell,不过某些地方还是有迹可循的,可以通过$_GET或者$_POST传参回显 可以写个脚本批量扫描一下文件里的$_GET和$_POST,然后统一赋值echo "got it",如果回显结果中包含got it,那么证明该文件为可用shell python脚本如下: import os import requests from mult...
BUUCTF web 高明黑客 (fuzzing)
H4ppyD0g的博客
02-23 768
提示源码备份www.tar.gz,就访问这个uri,下载一个压缩包,里面有三千多个php文件,打开几个看看,如果有写过小马的就可以很容易发现几乎每个文件都有好多小马。但是大多数都不好用,到这里不会了,看wp。 说是这个题考的模糊测试,也就是fuzzing,又学新知识了。。 知识盲区 Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。 可通过向目标系统提供...
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值