BugkuCTF-web-网站被黑 writeup

最新推荐文章于 2024-08-04 00:26:18 发布
最新推荐文章于 2024-08-04 00:26:18 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: CTF做题记录
会下雪的晴天
本文链接:https://blog.csdn.net/weixin_43578492/article/details/95179237
版权

御剑拿后台,bp爆破

题目描述

在这里插入图片描述

解题思路

解题链接:http://123.206.87.240:8002/webshell/
打开链接有一个炫酷的网页,,,
在这里插入图片描述
拿出御剑一顿扫描,得到后台网址
在这里插入图片描述
http://123.206.87.240:8002/webshell/shell.php
在这里插入图片描述
这,,,爆破吧,掏出bp,抓包,丢到Intruder里面跑一下
设置爆破参数
在这里插入图片描述
这个用默认字典就行,选password
在这里插入图片描述
点Start attack喝口茶,等着就行,记得按Length排序
在这里插入图片描述
还没跑完就出密码了

得到FLAG

密码:hack
在这里插入图片描述

会下雪的晴天
关注
专栏目录
CTFBugku网站
weixin_41607190的博客
09-25 9787
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4199
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
Bugku-网站
热门推荐
小水池
08-10 6万+
网站 http://120.24.86.145:8002/webshell/ 这个题没技术含量但是实战中经常遇到 解题思路: 打开链接是一个页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧  扫描出shell.php,打开链接是一个webshell,尝试admin等弱密码无效后  开burp进行爆破,这里选择Simple l...
bugku-web-秋名山车神详解
最新发布
m0_52484587的博客
08-04 233
re.findall中正则表达式(.*?re.search中正则表达式。
bugku 网站
Seaern的博客
07-02 883
题目链接 查看源码,发现没用 然后就下了一个御剑开始扫后台 下载地址 扫到webshell webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。 客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起, 然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以...
BUGKU-WEB 网站
天泽岁月
02-16 568
BUGKU-WEB 网站,需要找后门文件
Bugku Web CTF-网站
No Title
12-06 449
Bugku Web CTF-网站 这题虽然确实没什么技术含量但由于本人刚入门web ctf,常用工具基本不知道,所以纠结了很久,记录一下用到的工具。 DIRB kali自带的web目录遍历工具,自带一个字典,对于新手比较友好。网上writeup全都是用的“御剑后台扫描”,但我用的时候死活扫不出来,暂时没搞明白为什么。 用该工具可扫描出网站有一个shell.php。 Burpsuite 功能没有...
BugkuCTF-web-成绩单 writeup
kuller_Yan的博客
03-26 425
记一次简单的SQL注入 题目传送门,点击即走 首先分析题目:进入题目网页就可以看到这个 遇到表单,当然要填一填,看看有什么变化。于是我根据题目提示输入1。仔细观察可以发现输入1,并且返回后,出现了龙龙龙的成绩单以及四份数据。 于是打开hackbar,post提交 正常返回,加 ’ 测试一下 啥也不是,再加个 # 又正常了。 那么基本可以认定是SQL注入无疑了。 两种解题方法: 1:手...
bugku-writeup-web-好像需要密码
dark的博客
06-15 1071
bugku-web15解题思路记录。” 题目:好像需要密码
bugku-writeup-web-社工-初步收集
dark的博客
06-18 704
题目:社工-ch
BugkuCTF-WEB-第43题到第52题
Alita_lxz的博客
11-04 1193
BugkuCTF-WEB-第43题到第52题
Bugku CTF Web 网站
网安小趴菜
10-20 854
Bugku CTF Web 网站
BugkuCTF-WEB网站
am_03的博客
08-25 199
利用御剑扫描后台或者通过dirsearch扫描一下目录看看 得到http://1147.67.246.176:15607/shell.php 打开这个网址 发现需要登录密码 通过Burp添加字典爆破密码为hack 输入得到flag
bugkuCTF_网站
qq_46635165的博客
09-21 181
打开解题网址 啥都么得,试着用burpsuite抓包看数据包里,仍然没有线索,再试了一下御剑,结果意外发现一个shell.php: 直接访问是一个登录界面,只需要输入password,一开始想到的是SQL注入结果发现并不是注入: 于是经过别人的提示,burpsuite 进行password的爆破: ...
BUGkuCTF-网站
dfhjlll的博客
12-21 693
右键查看源代码,没有flag值,在头消息中,也没有发现flag值,用一款大神的软件:御剑后台扫描 扫出来一些子页面,输入其中的shell.php跳转到webshell页面 使用bp抓包, 点击行动,发送给测试器,点击测试器,在有效负荷界面,添加密码字典 然后进行撞库,暴力破解就完事了 ...
Bugku之网站
金 帛的博客
03-21 4063
Bugku之WP
网站(BUGKU)
赶不上早饭的博客
10-08 1973
网站 正文 进入链接如图 查看源代码没有发现什么,界面说是网站存在漏洞,用御剑扫描后台 得到一个shell.php,打开链接发现有一个webshell,需要输入密码 随便尝试输入一些弱密码admin、123456等无效后尝试用burp爆破 成功爆破得到密码为hack 输入密码得到flag ...
Bugku 网站
ChenZIDu的博客
04-13 566
后台扫描+爆破 进入网页看到一个画面 发现没什么内容,利用御剑工具进行后台扫描: 出来两个网址,点击下一个进入到一个网页 随机输入密码,发现不对,利用Burp抓包该网页, 进行爆破 点击这个添加一个passwords,点击右上角start attack 开始进行爆破。 首先要输入一次密码! 爆破结果hack,输入得到flag: ...
2019 CTF题目下载及Write-up解析
CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx 本文档主要是关于CTF安全大赛的题目下载和write up,涵盖了多个题目和解题步骤。 **CTF安全大赛** CTF(Capture The Flag)是指在网络安全领域中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值