[极客大挑战 2019]Knife --- [极客大挑战 2019]Http

最新推荐文章于 2023-01-17 14:48:03 发布
最新推荐文章于 2023-01-17 14:48:03 发布
阅读量316 收藏
点赞数 1
分类专栏: # buu练习记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45925514/article/details/124757762
版权

http 网络协议 网络 web安全

[极客大挑战 2019]Knife

一句话木马,POST传参,没啥好说的,

image-20220507122750606

使用菜刀或者其他工具连接上

image-20220507123146148

找一下flag在哪

image-20220507123323486

image-20220507123240561

结束!!!

[极客大挑战 2019]Http

一开始的页面中没看到有用的信息,通过抓包就可以清楚的看到返回响应中页面源码存在一个 href=Secret.php 但是不能点击访问,因为点击就返回 False

image-20220507164054136

手动访问一下这个文件,访问 Secret.php 出现提示,意思是 “它不是来自https://Sycsecret.buuoj.cn’”,说明这里需要添加一个 Referer

image-20220507164309820

image-20220507164507768

然后再访问,却发现又没成功,提示说 要使用 Syclover 浏览器,说明这里要 修改 User Agent

image-20220507164658536

image-20220507164829906

访问又发现,在哪在本地访问可以读,一步一步的教我做题啊这是。

要判断是不是本地进行的访问,需要加上一个 X-Forwarded-For 字段

image-20220507170506384

iKnsec
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[极客挑战 2019]Knife 1
weixin_45674567的博客
05-29 2902
白给的shell,用蚁剑 蚁剑下载 点击进去,左边查看目录 点击获取
[BUUCTF012][极客挑战 2019]Knife 1
m0_52674595的博客
12-04 2319
[BUUCTF012] [极客挑战 2019]Knife 1 看到题目 knife 第一反应 猜测可能是中国菜刀题 进来一看 eval($_POST["Syc"]); 这是一个典型的后门程序 //eval — 把字符串bai作为PHP代码执行 eval('echo 123;');//输出123 有的字符串放入到eval当中,eval会把字符串解析为php代码来进行执行,那么结合$_POST[‘posha’]的话,只要使用post传输时在name为posha的值中写入任何字符串,都可以当做php代码
[极客挑战 2019]Knife
weixin_52116519的博客
04-13 573
1、 2、用蚁剑连接 3、找flag
buu[极客挑战 2019]Knife 1
hintll的博客
03-23 375
[极客挑战 2019]Knife 打开靶机后: ‘ 直接看到一个提示:白给的shell eval($_POST[“Syc”]); 推测有一个后门shell 中国蚁剑直接连接看一下 连接成功: 在根目录下直接找到flag
[极客挑战 2019]Knife 1(蚁剑连接/安装)
weixin_45253573的博客
11-18 827
打开环境 eval($_POST[“Syc”]); 作为后门用post提交一个字符串Syc 直接拿蚁剑连接 连接之后在根目录下发现了flag 获取flag 介绍一下蚁剑的安装: AntSword-Loader:https://github.com/AntSwordProject/AntSword-Loader antSword:https://github.com/AntSwordProject/antSword 这两个下载好之后解压 在AntSword-Loader-v4.0.3-win32
BUUCTF web 极客挑战 2019
菜的只能随便写写博客
04-01 1782
0x01 Secret File  在源码之中得到一个php页面  后面页面之中  根据提示抓包,在其中返回的页面得到了信息  得到源码,根据源码,发现存在文件包含漏洞  利用php伪协议,获取flag.php的信息,拿取flag payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php EasyS...
极客挑战 2019Knife
Lixunzhe0112的博客
01-17 176
看见了一句话木马,我们尝试直接用蚁剑连接一下。在根目录下找见flag文件,就拿到了flag。
BUUCTF Web [极客挑战 2019]Knife
热门推荐
wangyuxiang946的博客
10-28 1万+
「作者主页」:士别三日wyx   此文章已录入专栏《网络攻防》,持续更新热门靶场的通关教程 「未知攻,焉知收」,在一个个孤独的夜晚,你完成了几百个攻防实验,回过头来才发现,已经击败了百分之九十九的同期选手。 [极客挑战 2019]Knife一、题目简介二、思路分析1)一句话木马2)代码执行三、解题步骤1)目录遍历2)查看文件内容四、总结 一、题目简介 页面中的文字提示我们使用「菜刀」连接后门,什么!你没有菜刀?恭喜你,你来对地方了,网上大部分的答案都是直接上菜刀连后门,实际上不使用.
CTF-Web-[极客挑战 2019]Knife
归子莫的博客
05-03 5752
CTF-Web-[极客挑战 2019]Knife 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]Knife 打开题目的实例 思路 看到这种题目,首先到处点一点,看...
swagger、swagger2、knife-swagger
最新发布
06-07
Knife-swagger是一个基于Swagger2的Java库,它提供了一组工具和API,用于在Java应用程序中集成Swagger2。Knife-swagger可以自动扫描应用程序中的API定义,并生成Swagger2格式的API文档。同时,它还提供了一组API,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iKnsec

您的鼓励,是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值