Bugku CTF-web11 网站被黑了

最新推荐文章于 2022-11-18 12:04:27 发布
最新推荐文章于 2022-11-18 12:04:27 发布
阅读量406 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44023403/article/details/116108686
版权

Bugku CTF-web11 网站被黑了

解题

在这里插入图片描述

用御剑扫一下网站后台敏感目录,直接输入网站,点击开始扫描;
在这里插入图片描述
当打开http://XXXX.XX/shell.php,发现是后台网址;
在这里插入图片描述

再用burpsuite暴破webshell密码,先输入任意代码抓包,之后发送intruder进行暴破;

在这里插入图片描述
设置变量;
在这里插入图片描述

导入字典;
在这里插入图片描述

开始暴破;
在这里插入图片描述
这就体现到平时积累常用字典的重要性,字典用的准,很快就会发现hack的返回的length值和其它的不一样,密码就拿到了。
在这里插入图片描述

输入密码hack,flag值就展示出来了。
在这里插入图片描述

看我的眼色行事
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战 使用PHP在Web中进行CTF挑战 链接: :
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
内容概要: CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛中,可利用该工具自动识别编码类型并解码,快速解决misc类别的密码题目。 其他说明: 该工具具备智能判断密码编码类型的功能,大大减少手工判断和重复尝试的时间,使密码解码更为便捷高效。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF练习题——bugkuCTF 网站题目思路分析
Jum的博客
11-13 2984
今天继续战斗WEB漏洞题目,好好学习天天向上。
BugKuCTF中套路满满的题--------网站
qq_42133828的博客
12-07 2660
此题目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主题:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit中的Intrude...
常见web漏洞修复方法
Big_Cow99的博客
06-16 892
该内容适用于基础学习以及高校参加ctf比赛修复漏洞常规手法!
跨站脚本攻击漏洞怎么修复_CTF自学笔记(三)跨站脚本攻击[三]
weixin_39874269的博客
12-12 400
点击上方蓝字关注!注:本篇文章为个人学习笔记仅供学习交流。NO.32020.8.9星期日XSS漏洞危害与利用技巧在浏览器中XSS漏洞所能做的事情通过XSS漏洞都可以完成。XSS漏洞可实现的功能包括但不限于:窃取用户cookie信息,伪造用户身份;与浏览器DOM对象进行交互,执行受害者所有可以执行的操作;获取网页源码;发起HTTP请求;使用HTML5 Geolocation API获取地...
CTF实战实践
weixin_46660023的博客
12-05 5040
文章目录前言一、什么是CTF1. CTF竞赛模式2. CTF各大题型简介二、CTF实战1.nmap扫描2. whatweb探测3. Dirb爆破4. wireshark分析5. 利用漏洞提权6. SSH登录服务器总结 前言 今天做了一个CTF的实践,对目标靶机进行了渗透,以此了解CTF的实战过程。 一、什么是CTF         首先先来介绍一下CTF。         CTF(Capt.
XXE外部实体注入漏洞之——CTF考题补充与——及XXE漏洞修复
温柔小薛的博客
04-12 1070
CTF考题 测试及漏洞修复 扩展考题 jarvisoj 上的一道题目 API 调用 这道题的题目说明是 请设法获得目标机器/home/ctf/flag.txt 中的 flag 值。 进入题目 http://web.jarvisoj.com:9882/ 发现一个输入框,我们对其进行抓包 是一个 json 数据提交,修改数据发现可以被解析 这是一道 xxe 的题,怎么获取 flag?只要将 jso...
Bugku CTF Web 网站
网安小趴菜
10-20 791
Bugku CTF Web 网站
网站
heyingcheng的博客
10-26 1959
目录一,补充知识1,客攻击的步骤与防范(1)网络本身存在的安全缺陷(2)客攻击的步骤(3)客攻击的方法(4)客攻击的防范(被攻击前怎么做)2,客常见攻击与防护方法(1)常见攻击方法(2)客攻击的防范(被攻击后怎么办)3,web后门详解(泛指webshell)二,解题过程1,推断网站使用的后台语言2,扫描客留下的后台地址3,暴力破解,bp抓包4,补充(1)如何判断网站后端使用的语言?(2)如何从github上下载文件?1,开放性的网络环境;(显而易见不用多解释)2,协议本身的缺陷:网络应用层服务
【安全攻防知识-7】CTF之web(1)
qq_26579613的博客
06-01 4219
ctf-web题型总结
CTF——Web——文件包含漏洞
小锤队长的博客
08-19 1万+
转载于 信安之路 :https://cloud.tencent.com/developer/article/1180857 文件包含原理: 原理 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当...
CTF-web 第十部分 webshell基础与免杀
iamsongyu的博客
11-15 9972
一、什么是webshell (1)webshell简介         webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限,也叫webadmin。webshell一般是被网站管理员用于网站管理、服务器管理等等一些用途,但是由于webshell的功能比较强大,可以上传下载...
ctf-web:文件包含漏洞和举例-HCTF2018 WarmUp
热门推荐
薯片薯条的博客
10-15 8万+
我又回来更新了,这次是关于web方面的文件包含漏洞.我会在后面以详细的角度来写清楚这个漏洞的利用方法. 当然,以下都是我自己的理解,表述什么的都有些野人化了.所以希望各位大佬手下留情. 一.漏洞产生的原因 这个漏洞可以追溯到很久.更准确来说,其实是人为产生的.由于我php学的不是很专业,所以我就拿c语言来举例了.php里面使用的是include命令,c语言使用的是#include预处理命令.作用是相似的. 我新建了两个文件,内容如图. wzc.h: #include "stdio.h" void pri.
2022-UNCTF部分wp以及web的赛后复现学习
BrosyveryOK的博客
11-18 3421
tcltcltcltcltcl,前路漫漫,继续努力。这次的web感觉都可以做,三道sql注入只出了一道,真的tcl,这个礼拜还是测试周,和比赛重了着实难受,隔壁的geek也还没做QAQ。下礼拜就猛做sql注入和源码泄露的整理!还是要多刷题多整理啊…
docker复现CTF web题步骤与解决方案
yink12138的博客
03-07 1271
标准步骤: 下载题目源码,控制台进入带有Dockerfile的文件夹 docker build -t <image-name> . 以自定义的镜像名创建一个镜像 docker run -i -d -P <image-name> 为指定镜像创建容器并运行 用到的option:-d 后台运行 -P 随机把容器的端口映射到一个主机未使用的高端口 -p 格式为主机端口:容器端口 ,自选端口映射 -i 以交互模式运行容器,常与-t连用 -t 为容器重新分配一个伪输入终端,常与-
bugku ctf sqli-0x1题解
最新发布
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值