BUUCTF—WEB-高明的黑客

最新推荐文章于 2024-05-16 07:20:57 发布
最新推荐文章于 2024-05-16 07:20:57 发布
阅读量6.7k 收藏 4
点赞数 3
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44677409/article/details/93627764
版权

高明的黑客

在这里插入图片描述
下载www.tar.gz

发现是很多混乱的shell,不过某些地方还是有迹可循的,可以通过$_GET或者$_POST传参回显

在这里插入图片描述
可以写个脚本批量扫描一下文件里的$_GET和$_POST,然后统一赋值echo "got it",如果回显结果中包含got it,那么证明该文件为可用shell
python脚本如下:

import os
import requests
from multiprocessing import Pool

path = "I:/phpStudy/PHPTutorial/WWW/src/"
files = os.listdir(path)
url = "http://localhost/src/"


def extract(f):
    gets = []
    with open(path+f
最低0.47元/天 解锁文章
小白白@
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF 每日一题 Day24 世上无难事
ChaoYue_miku的博客
01-24 1858
题目名称:世上无难事 题目类型:Crypto 题目来源:BUUCTF 题目描述:以下是某国现任总统外发的一段指令,经过一种奇异的加密方式,毫无规律,看来只能分析了。请将这段语句还原成通顺语句,并从中找到key作为答案提交,答案是32位,包含小写字母。 注意:得到的 flag 请包上 flag{} 提交 ...
BUUCTF WEB [强网杯 2019]高明黑客
A_dmin的博客
12-15 2363
BUUCTF WEB [强网杯 2019]高明黑客 打开网页,发现有提示~~源码可下 下载源码,发现3002个文件,查看一下,发现有不少的shell??? 不过都是不能用的,其实这道题目就是让我们找到能用的shell,考察的应该是脚本的编写能力吧!! 源码已经down下来了,在本地搭一个环境,php 7.0以上,否则会报语法错误! 然后编写脚本(特别慢): import requests ...
buuctf-web-[强网杯 2019]高明黑客1
mlws1900的博客
08-20 407
解题思路就是用get和post对所有文件进行挨个传参,一句话返回一个预定的值就利用该文件来获取flag。借其他大佬的脚本一用(跟扫目录返回状态码一个思路)直接复制www.tar.gz下载源码。打开发现很多个php文件。随机打开一个,观察源代码。利用以下payload。
BUUCTF--Web篇详细wp_buuctfweb
最新发布
2401_84247617的博客
05-16 999
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
BUUCTF Web [强网杯 2019]高明黑客1 & [BJDCTF2020]Cookie is so stable1
网安小趴菜
09-28 191
BUUCTF Web [强网杯 2019]高明黑客1 & [BJDCTF2020]Cookie is so stable1
BUUCTF】[强网杯 2019]高明黑客
aoao331198的博客
04-26 2308
拿到的源码有3000多个文件,所有文件都是杂乱的 网上wp感觉对题目的理解部分讲解较少,结合蚁剑工具,我觉得题目意思像是说这里面的文件是一句话木马,我们要找到合适的GET或POST参数能执行shell命令。 用脚本暴力跑完所有文件的所有参数,技术不行,只能贴别人的代码 import os import requests import re import threading import time print('开始时间: '+ time.asctime( time.localtime(time.ti.
BUUCTF 世上无难事
MikeCoke的博客
05-13 5174
注意题目给的关键词: 1.找到key作为答案提交 2.答案是32位 3.包含小写字母 这是替换密码,直接用 Q爆破 将 PIO 替换为 key 转为小写,得到flag: flag{640e11012805f211b0ab24ff02a1ed09}
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
【变量覆盖漏洞详解】 ...这类漏洞通常出现在以下几种情况: 1. **全局变量覆盖**: ...攻击者可以通过操纵这些请求参数来覆盖预定义的变量,造成安全风险。... ...2. **extract()函数使用不当**: `extract()`函数会从数组中...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF部分web题目
05-06
写题记录
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF web 高明黑客 (fuzzing)
H4ppyD0g的博客
02-23 758
提示源码备份www.tar.gz,就访问这个uri,下载一个压缩包,里面有三千多个php文件,打开几个看看,如果有写过小马的就可以很容易发现几乎每个文件都有好多小马。但是大多数都不好用,到这里不会了,看wp。 说是这个题考的模糊测试,也就是fuzzing,又学新知识了。。 知识盲区 Fuzzing是指通过构造测试输入,对软件进行大量测试来发现软件中的漏洞的一种模糊测试方法。 可通过向目标系统提供...
BUUCTF-MISC-黑客帝国~喵喵喵
七堇年的博客
11-16 5031
文章目录1.黑客帝国 1.黑客帝国 题目描述:Jack很喜欢看黑客帝国电影,一天他正在上网时突然发现屏幕不受控制,出现了很多数据再滚屏,结束后留下了一份神秘的数据文件,难道这是另一个世界给Jack留下的信息?聪明的你能帮Jack破解这份数据的意义吗? 注意:得到的 flag 请包上 flag{} 提交 解题步骤:010打开查看,发现二进制文件头i 在这里插入代码片 txt ...
世上无难事(buuctf
m0_65514393的博客
07-02 749
得到key,包上flag{640e11012805f211b0ab24ff02a1ed09}提交。根据第一步以及题目中的“key”信息,key=
2022-4-28 BUUCTF Crypto区部分题目分享
Menou16的博客
05-01 3232
主题:BUUCTF Crypto区部分题目分享
buuctf crypto 【世上无难事】解题记录
jsbbd12的博客
09-08 447
buuctf 刷题记录
[强网杯 2019]高明黑客
记录学习,一起进步
01-31 401
[强网杯 2019]高明黑客
buuctf upload-labs-linux
05-21
buuctf upload-labs-linux 是一个基于 Linux 平台的上传漏洞实验室,旨在帮助安全从业人员学习上传漏洞的原理和利用方法。该实验室提供了多个不同难度级别的漏洞场景,用户可以通过上传恶意文件、绕过文件类型限制、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值