hack the box challenge-web-HDC writeup

最新推荐文章于 2023-06-17 16:36:55 发布
最新推荐文章于 2023-06-17 16:36:55 发布
阅读量279 收藏 1
点赞数
分类专栏: hackthebox 文章标签: 安全 安全漏洞 网络安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43200143/article/details/110076650
版权

任务目标:

We believe a certain individual uses this website for shady business. Can you find out who that is and send him an email to check, using the web site's functionality?

Note: The flag is not an e-mail address.

寻找到正确的邮箱,然后给他发消息。

1.寻找突破口

 

首页进入后是这个样子,然后查看一下源代码

 

发现有一个自己的js文件,查看一下

发现里面含有一个这个函数,然后从jquery里面找一下这个函数的具体信息

发现了账户名和密码

登录成功!!!

2.进一步探索

注意到这里

 

发现了发送邮件的地方,查看源码,发现一些东西显示不出来,那么就用F12开发者工具看吧

看到这里,发现了那些人的邮箱!F12查看

可以看到这里存在一个路径,图片的路径,

这里能够学习到的一点就是要观察页面出现的服务器的路径,可能存在目录遍历漏洞等

3.最后的寻找、获取flag!

 

在这里能看到邮箱txt!!!找到他了!!

然后就可以从刚才发现的页面去提交了

不算是很多,可以自己一个个尝试,也可以用bp或者自己写个脚本

都尝试了一遍。。问什么不行呢。。。

。。。。。傻了,前面是人名,,后面是邮箱。。。

成功获得flag!

 

唐仔橙
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 三十七.Web渗透提高班之hack the box在线靶场注册及入门知识
杨秀璋的专栏
01-09 2万+
在撰写这篇文章之前,我先简单分享下hack the box实验感受。hack the box是一个在线渗透平台,模拟了真实环境且难度较大,而且用户注册该网站时需要绕过关卡并获取邀请码,涉及审查元素、base64解密、发送post请求等操作,挺有意思的。这是一篇基础性文章,将讲述注册过程、遇到的难点及入门案例,希望对您有所帮助。
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
Hack The Box - Web - Phonebook
抒情诗
06-17 418
玩一会儿htb的challenge,最近找工作,所以先玩玩web类型的。这道题目的类型有人说是LDAP注入、有人说是like注入。LDAP这玩意08年的时候估计可能比较流行,但是现在应该没多少人用了吧,比较小众。其实LDAP这个特殊的数据库是比较契合这个题目的,PhoneBook(电话本)嘛。但是根据别人的分析其实又不太像,暂时就认为这个是like类型的注入。有经验的师傅可以指点一下,不胜感激。看到论坛里分享的经验,这里可以使用下面几种方式来绕过登录。登录到后台之后有个搜索功能,如图2所示。
hack the box-challenges:Event Horizon题解
zr1213159840的博客
04-29 509
打开题目,有一段描述,大概内容为:我们 CEO 的计算机在一次网络钓鱼攻击中遭到破坏。攻击者小心地清除了 PowerShell 日志,所以我们不知道他们执行了什么。你能帮助我们吗? 下载下来文件,使用hack the box解压后,能发现全是windows日志文件。 一共323个文件,这把完犊子了,不会要一个一个看吧。evtx文件是日志文件格式,可以使用windows自带的事件查看器查看。 打开后,选择右边的打开日志文件,就会加载进来。记得命名改一下,防止与本地的重复。 先从Application日
HackTheBox Soccer 通过WebSockets进行SQL注入,Doas与Dstat插件提权
Ba1_Ma0的博客
12-23 2383
HackTheBox Soccer靶机wp
Hack The Box - Web Requests Module详细讲解中文教程
技术分享
07-24 337
Hack The Box - Web Requests Module详细讲解中文教程
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone ...cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 ... 面向返
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
upload-labs-writeup-master.zip
10-25
总的来说,"upload-labs-writeup-master.zip"为学习和研究Web应用上传漏洞提供了全面的资源,对于提升网络安全意识和技能非常有价值。无论是初学者还是经验丰富的专业人士,都可以从中受益,加深对上传漏洞的理解,...
writeup-frontend:用AI击败作家的街区
04-29
开始git clone git@github.com:jeffshek/writeup-frontend.gitcd writeup-frontendyarn installyarn start设计灵感来自设计灵感和代码代码质量这写得很快,所以我对我在回购中使用的一些反模式并不感到骄傲。...
Stego-Challenges-HackTheBox-Write-Ups:Hack The Box带来的Stego挑战| Walkthoughs写ups
03-21
Stego-Challenges-HackTheBox-Write-Ups:Hack The Box带来的Stego挑战| Walkthoughs写ups
hackthebox】【Challenges】【Lernaean】
大方子
02-01 1355
一个来自HTB的web挑战 提示语:你的目标对计算机不是很好。尝试并猜测他们的密码,看看他们是否隐藏任何东西! 打开页面,出现“Please do not try to guess my password!” 那么我们用hydra来爆破下 hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64 docker.hackth...
hackthebox】【Challenges】【Cartographer】
大方子
02-01 982
一个来自HTB的web挑战   问题陈述是这样的“ 一些地下黑客正在开发一个新的命令和控制服务器。你能闯入并看看他们在做什么吗?“并提交flag   ==================================================================================== 打开页面如下   看下网页源代码   第一反应的话...
hack the box (web)
m0_38094687的博客
04-08 5404
接下来是2道web水题,来自hack the box。这个网站还真是厉害啊,邀请码要靠自己破解网页的一个小trick。话不多说看题。 - Cartographer (30) - HDC (30) Cartographer sql注入大水题 使用username='='&password='='的方式绕过 访问一下info=flag即可得到 HDC 这题...
学校学术专业导航个人分享-计算机、网安、CTF大学推荐学习路线及资源
qq_43200143的博客
11-04 3302
文章目录如何应对学校的学业正常的应对方式逃课 (基础和进阶版本)????计算机,上课耽误学习?如果不太喜欢本专业,采用正常应对方式即可具体的一些东西✨提升学习能力????笔记、博客????提升收集信息的能力????多读书、多去图书馆,良好的环境有buff加成关于网安首先,你要知道,网安比你想得大很多举个例子吧。geekpwn兴趣是最好的老师安全和应用是分不开的,建议先学点开发资源从哪里获得(不要轻易花钱!但该花的要花多实践再话说回来,如何学习呢?高中和大学的一个非常大的区别就是不会有人一步一步教你怎么走了,
[HackTheBox]WEB题目
baguangman5501的博客
09-28 942
0x01 [50 Points] I know Mag1k 问题描述: Can you get to the profile page of the admin? 访问分配的地址,是一个带注册的登入页面: 尝试常规注入,无效 来到注册页面注册,再退出,在使用已有的用户名登入会发现有一个用户名枚举的漏洞 这时的一个思路就是先通过暴力破解,枚举出管理员的用户名,然后结合二次注入注册一个类...
hack the box[HTB]web题之FreeLancer
qq_39682037的博客
04-27 2959
觉得是sql注入,让我来试一下 http://docker.hackthebox.eu:30643?id=1 尝试失败,再来看下页面 这是啥,好像发现了新大陆 http://docker.hackthebox.eu:30643/portfolio.php?id=-1 union select 1,group_concat(table_name),3 from information_s...
hack the box[HTB]web题之Fuzzy
qq_39682037的博客
05-11 1882
gohb@gohb:~/桌面$ gobuster dir -u http://docker.hackthebox.eu:30568/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt gohb@gohb:~$ gobuster dir -u http://docker.hackthebox.eu:30568/ap...
新版HackTheBox做题记录(WP)
midi
04-19 3162
HTB(Hack the box)做题笔记WP ChallengesWeb{Emdee five for life、Templated、Phonebook、FreeLancer、Gunship、Weather App} ,MISC{misDIRection、Blackhole、Eternal Loop、Longbottom's Locker、Canvas}
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP证书的重要性和它在信息安全领域的认可度。接着,作者向读者介绍了挑战项目MedTech的背景和目标。MedTech是一个模拟医疗技术公司的网络环境,参与者需要在该环境中寻找漏洞、获取权限,最终控制主机,获取FLAG。 在解决这个挑战的过程中,作者详细介绍了使用的工具和技术。例如,他讲解了利用漏洞扫描工具Nmap进行主机发现和服务探测的步骤,以及如何使用Metasploit框架进行漏洞利用和提权。 博客中还涵盖了其他一些有关网络渗透测试的技术,如枚举、社会工程学和Web应用程序漏洞利用。作者详细解释了每个技术的原理和实际应用。 在解决MedTech挑战的过程中,作者还分享了一些遇到的困难和技巧。他提到了一些常见的错误和陷阱,并分享了如何避免它们的经验。 最后,作者总结了整个挑战的过程,并分享了他在完成挑战时的成就感和收获。他强调了在这个过程中学到的技能和知识的重要性,并鼓励读者积极参与类似的挑战和项目。 这篇博客不仅提供了对OSCP挑战赛的深入了解,而且为读者提供了解决类似问题的思路和方法。它对于那些对信息安全和网络渗透感兴趣的读者来说是一个很有价值的参考资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值