网站被黑——bugku

最新推荐文章于 2024-04-28 05:03:05 发布
最新推荐文章于 2024-04-28 05:03:05 发布
阅读量185 收藏
点赞数
文章标签: php
原文链接:https://yq.aliyun.com/articles/649047
版权

刚刚做了bugku的题目,现在整理一下

写出解题思路,希望能够帮助到那些需要帮助的人

所有的wp都是以一题一篇的形式写出

主要是为了能够让读者更好的阅读以及查找,

希望你们不要责怪!!共勉!!!

 

 

网站被黑

60

 

http://120.24.86.145:8002/webshell/

这个题没技术含量但是实战中经常遇到

 

 

解题思路:关于这一题,如果能够想到方法还是比较简单的

我在网上搜索了一下,发现没有人写这个的wp

我就简单的写一下大致思路,可能不是太好。

首先:打开链接就会得到(这个人的页面很炫酷呀,完全吊打我呀QAQ):

尝试一些普通的方法没有找到一点思路

最后还是想到使用扫描器试一下吧

打开御剑后台扫描工具(如果各位小伙伴没有这个工具加我之后,我会发给你们的哦!!)

 

 就会得到上面划红线的东西

是不是很神奇,仿佛看见了希望

打开这个链接http://120.24.86.145:8002/webshell/shell.php就会得到:

 

 需要输入密码的,这里考研使用弱口令进行爆破

也可以直接使用密码进行破解呀(密码是什么,偷偷的不告诉你hhhhh)

最后得到答案:flag{hack_bug_ku035}     

您可以考虑给博主来个小小的打赏以资鼓励,您的肯定将是我最大的动力。

微信 支付宝
作者: 落花四月
关于作者:潜心于网络安全学习。如有问题或建议,请多多赐教!
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接.
特此声明:所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误,共同进步。或者直接私信我
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力!
weixin_33827590
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF之Bugku网站
weixin_41607190的博客
09-25 9780
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
BugkuCTF:网站;管理员系统;web4
s0il的博客
01-27 1341
网站 后台扫描工具(第一次用),御剑扫描:                  除了我们看到的index.php,还有shell.php: 访问一波,要密码,flag应该隐藏在这个密码后边:                                                    用Burp suite爆破: 浏览器选择burpsuite代理,打开监视,访问网站,输入密...
BUGKU-WEB 网站
天泽岁月
02-16 559
BUGKU-WEB 网站,需要找后门文件
Bugku网站
金 帛的博客
03-21 4045
Bugku之WP
bugku 网站
Seaern的博客
07-02 882
题目链接 查看源码,发现没用 然后就下了一个御剑开始扫后台 下载地址 扫到webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。 客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起, 然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以...
bugku web 网站
l181954187的博客
03-31 238
先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了。F12看源码啥也没有,用dirsearch扫一下目录看看。还提示了,估计应该限制ip了,抓包看看。使用自带全量字典扫描单个url的目录。进去看看,随便试试几个密码都不对。开始攻击,成功获得密码。输入密码得到flag。
BugKuCTF中套路满满的题--------网站
qq_42133828的博客
12-07 2687
此题目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主题:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit中的Intrude...
BugkuCTF练习题解——Web一
qq_41739275的博客
08-24 6566
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 3766
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
bugku 管理员系统 后台代码_代码审计——YXCMS
weixin_39613385的博客
10-24 557
前言YXcms是一个代码审计入门级的cms,比较适合想我这样的小白玩家进行操作。。。我一直想尝试审计一个cms,但是因为各种原因,一直搁置了。尝试分析一下YXCMS。。。相关环境源码信息 : Yxcms php建站系统 1.4.7本地环境 : phpstudy2018下载地址 :175.6.244.211:88/uploads/userup/1596/YXcmsApp1.4.7.zip...
CTF BugKu平台——Crypto篇刷题记录(后续更新)_抄错的字符 ctf
最新发布
2401_84281748的博客
04-28 979
前言 记录一下密码学的刷题记录 也是为了更好的巩固自己 基本有的解码 都附有超链接 希望大家能顺利通关 感谢观看!描述: 老师让小明抄写一段话,结果粗心的小明把部分数字抄成了字母,还因为强迫症把所有字母都换成大写。你能帮小明恢复并解开答案吗:QWIHBLGZZXJSXZNVBZW解码网站:http://www.hiencode.com/railfence.html 解码网站:https://www.splitbrain.org/services/ook解码网站:http://www.hiencode.com
BugkuCTF笔记——web
weixin_41889503的博客
12-30 668
1.web2 按F12 2. 发现框里面只能输一个数字,按F12,把maxlength改成3,再在框里输入计算后的正确结果 3.web基础$_GET ?后面是传递的参数。 格式为:网页?参数名=参数值  4。web基础$_POST 和上题类似 5.矛盾 题目 查一下is_numeric函数 则num既不能是数字字符,但是又要等于1 想到用科学计数法表示数字...
bugku网站
qq_52718293的博客
01-10 2353
这题能两个点 根据提示(网站客会不会留下后门) 1.首先尝试使用御剑扫描网站的目录 ![在这里插入图片描述](https://img-blog.csdnimg.cn/bcda5f9a940e4d2cac8a88ab56eb4846.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAKuWwj-eRtg==,size_20,color_FFFFFF,t_70,g index.php shell.
网站(BUGKU)
赶不上早饭的博客
10-08 1973
网站 正文 进入链接如图 查看源代码没有发现什么,界面说是网站存在漏洞,用御剑扫描后台 得到一个shell.php,打开链接发现有一个webshell,需要输入密码 随便尝试输入一些弱密码admin、123456等无效后尝试用burp爆破 成功爆破得到密码为hack 输入密码得到flag ...
【愚公系列】2023年06月 Bugku-Web(网站
时光隧道
06-26 5847
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy中拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置中选择“Simple list”模式。
BUGKU 网站
qq_75120258的博客
03-02 442
打开环境,什么都没发现,使用蚁剑扫描一下,发现shell.php,打开。使用BP抓包,进行爆破。
Bugku-网站
王嘟嘟的博客
10-06 1364
0x00 2018年10月6日23:15:40 打开题目 发现是这样一个页。页的效果棒棒的,想找一下哪里有开源代码。 但是没有找到。 题目提示是实战。 使用御剑对后台目录进行扫描。 然后挨着打开试试。 最后在shell.php里看到着个界面。 可以使用bp的爆破软件进行爆破,使用自带的字典就可以了。 最后的密码是hack。 flag就是:flag{hack_bug_ku035} ...
bugku-网站
2202_75317918的博客
03-01 117
bugku 网站
在线视频网站设计——软件工程课程作业
"中国石油大学软件工程课程设计的在线视频网站设计项目,旨在构建一个让用户可以在线观看、分享和讨论视频的平台。课程设计涵盖了需求分析、功能设计、非功能需求以及可行性分析等方面,适用于专升本层次的计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值