CTF之网站被黑

最新推荐文章于 2024-08-03 18:56:10 发布
最新推荐文章于 2024-08-03 18:56:10 发布
阅读量422 收藏 8
点赞数 4
分类专栏: ctf 文章标签: 网络安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74263993/article/details/137794264
版权

 简单看一下网页和源码没发现什么明显漏洞

b8c73ed844094ceeb7e27dbddb402109.png

 那就扫描一下目录

08223d34cf8c40dab94de3b0cac68643.png

 发现了/shell.php文件,访问一下,发现是一个后台管理登录页面

feae285bd96c461aa5b42476af4ebbe0.png

 别无他法只能爆破喽,爆破后发现密码是hack

b607e5c0b1b5465fa85751d50daf1557.png

 flag{25891d9e9d377f006eda3ca7d4c34c4d}

 

小黑子不会打篮球
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku CTF Web 网站
网安小趴菜
10-20 833
Bugku CTF Web 网站
CTF之Bugku网站
weixin_41607190的博客
09-25 9734
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
bugkuCTF 网站
qq_39017218的博客
08-13 6165
1.使用“御剑后台扫描工具”扫描该网站。如下图所示,可以扫描到这样一个网址:http://120.24.86.145:8002/webshell/shell.php 2.打开该网址,页面如下图所示: 3.可以看到他让我们输入密码,接下来就直接Burp暴力破解就好了: 密码还是比较简单的:hack 4.输入密码后即可得到flag: 本题的flag为:flag{hack_...
Bugku CTF 矛盾 网站
Welcome To Myon'Blog !
05-29 644
PHP弱类型比较,shell.php,Bugku CTF 矛盾 网站
BugKuCTF WEB 网站
无限迭代中......
07-08 1382
http://123.206.87.240:8002/webshell/ 题解: 原理: webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一...
bugkuCTF_网站
qq_46635165的博客
09-21 170
打开解题网址 啥都么得,试着用burpsuite抓包看数据包里,仍然没有线索,再试了一下御剑,结果意外发现一个shell.php: 直接访问是一个登录界面,只需要输入password,一开始想到的是SQL注入结果发现并不是注入: 于是经过别人的提示,burpsuite 进行password的爆破: ...
BUGkuCTF-网站
dfhjlll的博客
12-21 667
右键查看源代码,没有flag值,在头消息中,也没有发现flag值,用一款大神的软件:御剑后台扫描 扫出来一些子页面,输入其中的shell.php跳转到webshell页面 使用bp抓包, 点击行动,发送给测试器,点击测试器,在有效负荷界面,添加密码字典 然后进行撞库,暴力破解就完事了 ...
Bugku CTF网站[WriteUP]
如有错误感谢斧正
11-10 112
dirsearch -u URL [扫描该网页下的目录和文件]根据题目提示,知道shell.php就是后门.直接访问后。选shell常用的字典这里就直接爆破出来密码了。直接到BurpSuite选择字典进行爆破。把hack输入PASS。
Bugku网站-ctf练习
lshandel的博客
07-11 548
记录一下一道简单但是自己尽量的不借助工具创造工具解决的一道题,好像大家都是用御剑解决的,但是macOS下是没有这个软件的,所以这里也提供一个mac下的解决方法 题目描述 网站客会不会留下后门 需要的工具 1.dirsearch 直接github下载就可,20M且在命令行使用非常方便 安装包下载地址:https://github.com/maurosoria/dirsearch 2.python3.6以上版本(版本要求是为了使用dirsearch) 首先分析一波 很嚣张,获得webshell以后
CTF工具之WEB.zip
10-07
Webshell”通常指的是攻击者在成功入侵网站后留下的后门程序,可以远程控制被服务器。在CTF中,了解Webshell的识别、防御和利用是必备技能,而这里提供的Webshell可能是用于模拟攻击或学习如何清理这类威胁的。 ...
领航杯 CTF 2021 决赛 真题 7z
12-07
领航杯 CTF 2021 决赛
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
CTF例题.zip
10-31
CTF例题.zip 里面有分类的几道ctf经典题型,可以拿来练练手,网上都能找到答案
CTF常见题型及解题思路.docx
10-22
3. **文件上传和包含**:寻找文件上传漏洞,利用文件头插入、后缀名单漏洞、00截断等方法绕过防护。文件包含漏洞则涉及包含敏感配置文件、图片木马以获取shell权限。 4. **代码审计**:检查代码逻辑漏洞和反序列化...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8362
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
“微软蓝屏”事件暴露了网络安全哪些问题?
2302_80152430的博客
08-03 209
例如,电力系统的故障会波及到依赖电力的通信网络和制造业,而医疗设备的故障则直接影响到患者的健康和生命安全。因此,技术领域需要不断完善系统的韧性,加强风险管理和质量控制机制,确保系统的稳定性和安全性。随着信息技术的普及,公众对网络和服务中断的容忍度越来越低,这就要求各行各业不仅要保障自身系统的稳定运行,还要加强与客户的沟通和透明度。4. 自动化测试与持续集成:使用自动化测试工具,定期运行测试用例,提高测试效率和覆盖率,同时实施持续集成策略,确保每次代码变更都经过自动化的构建和测试。
网络安全】|vmware网络适配器模式-NAT 模式、桥接模式、仅主机模式
最新发布
yangdan_jiayou的博客
08-03 96
1、桥接模式(Bridged Network),在桥接模式下,虚拟机会通过宿主机的物理网络适配器直接访问网络,像是局域网中的其他设备一样。在 VMware 的仅主机模式(Host-Only Networking)中,VMnet1 通常作为虚拟网络的一个接口,它。即:虚拟机配置为主机模式(Host-Only),这意味着虚拟机可以与宿主机(物理机)进行通信,但无法直接访问外部网络。2、网络地址转换模式(NAT),在 NAT 模式下,虚拟机会通过宿主机的网络连接访问外部网络,宿主机会充当中介。
web安全之简要sql注入
weixin_73185660的博客
08-01 850
举例:select * from users where id=-1 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema='这里写数据库名称'如果是mysql5.0以上,则存在information_schema,其中存储所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或列名信息。如果是1=1,那么就是真且真,结果为真。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值