攻防世界(web)----backup

最新推荐文章于 2021-11-05 16:20:08 发布
最新推荐文章于 2021-11-05 16:20:08 发布
阅读量86 收藏
点赞数 1
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52636682/article/details/119282104
版权
这篇博客探讨了如何通过访问URL后附加.index.php.bak来下载并查看PHP备份文件,从而获取可能包含敏感信息如flag的文件内容。这个过程涉及到Web安全和文件管理,提醒读者注意网站安全,防止未授权访问。
摘要由CSDN通过智能技术生成

index.php的备份文件名,备份文件的扩展名为.bak  。

在url后面加 /index.php.bak ,出现一个文件下载,查看文件,能找到flag。

oooooooohhhhh
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界nice-bgm杂项
11-20
网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
攻防世界Erik-Baleog-and-Olaf
10-31
攻防世界Erik-Baleog-and-Olaf,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127615829
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
gmpy2的安装(python)
热门推荐
ooooohhhhhhh博客
11-05 1万+
Gmpy2 安装:(三个方法) 直接再pycharm里面安装——file——setting——python interpreter—“+”搜索gmpy2安装(这个步骤可能有点点小问题,我凭记忆来的,安装模板的位置应该都能找到,就不要纠结这个小错误了)。但是我用这个安装报错,使用的下面一个方法安装的 Win+R 打开windows命令窗口,使用pip install gmpy2安装成功 若使用这个pip直接安装不成功,https://www.lfd.uci.edu/~gohlke/pythonlibs/
buu刷题1.1
ooooohhhhhhh博客
10-28 2384
1.1.1三胖(misc) 下载文件,解压,发现是一个gif, 观察图会发现有人物中参杂红色的flag, 放入ps中,查看图层, 就能得到flag 1.1.2第一章web入门:常见的搜集(N1BOOK) 打开链接发现如下页面,查看源代码什么也没有发现 御剑扫一下后台, 发现robots.php文件,index.php~和.index.php.swp 查看下他的robots.txt文件 出现的文本意思是禁止所有网站访问flag1_is_her3_fun.txt文件
buu刷题1.3
ooooohhhhhhh博客
10-28 2028
1.3.1Warmup(web) 打开网站发现如下页面 查看源码,发现有source.php查看一下 发现hint.php,查看一下,显示这个,说flag在ffffllllaaaagggg里面 只能回到前面去分析source.php 先分析最后一个if,当最后一个if满足条件时,才能对文件进行包含 if(!empty($_REQUEST['file'])&&is_string($_REQUEST['file'])...
攻防世界(web)---get_post
ooooohhhhhhh博客
08-02 1489
请用GET方式提交一个名为a,值为1的变量。 传参 /?a=1 post传参,这里用到了hackbar这个插件
BUUCTF(basic)---BUU LFI COURSE 1
ooooohhhhhhh博客
08-01 1081
url后面直接加 /?file=/flag
攻防世界(web)---webshell
ooooohhhhhhh博客
08-03 693
此题我用中国菜刀完成。 <?php @eval($_POST['shell']);?> 是一句话木马,可用中国菜刀上传。若打不开建议把电脑杀毒软件关闭,因为电脑会在你双击打开时自动删除caidao.exe。 上传方法为:打开菜刀——右键——添加—地址填写网站地址——地址右边选项相当于要填一句话的密码,<?php @eval($_POST['shell']);?> 的密码为shell——将类型改为PHP——确认 然后查看网站的内容,获得网站信息,点开flag.txt即..
bugku(crypto)---[+-<>]
ooooohhhhhhh博客
07-26 311
直接用bugku里面的工具解密 flag{0d86208ac54fbf12}
攻防世界(web)---simple_php
ooooohhhhhhh博客
08-02 297
看代码分析 ,此题的flag是由flag1和flag2两部分组成 直接传参得到flag1 或者 if($a==0and$a){ echo$flag1; } 表示:参数a=0且a为真。 /?a=1&a==0 得到flag1 is_numeric() 函数用于检测变量是否为数字或数字字符串(百度得) if(is_numeric($b)){ exit(); } if($b>1234){ echo$flag2; } 表示:b不是...
攻防世界(web)---xff_referer
ooooohhhhhhh博客
08-02 278
X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。 这一HTTP头一般格式如下: X-Forwarded-For: client1, proxy1, proxy2, proxy3 ip地址必须为123.123.123.123,用xff伪造IP协议 X-Forwarded-For: 123.123.123.123 显示内部HTML必须来自https://www.google.com" HTTP Re..
攻防世界(crypto)(1)
ooooohhhhhhh博客
08-05 266
base64 下载附件为Y3liZXJwZWFjZXtXZWxjb21lX3RvX25ld19Xb3JsZCF9。用base64解码得到flag。cyberpeace{Welcome_to_new_World!} Caesar Caesar为凯撒密码,oknqdbqmoq对应cyberpeace以此推出位移12位,解码得flag Morse Morse:摩尔斯密码 1替换成-, 0替换成.,解码 cyberpeace{morsecodeissointeresting} 还可以写脚本,贴.
bugku(Crypto)---ook
ooooohhhhhhh博客
07-30 228
百度搜索发现ook是一种密码,bugku 站内的ctftools可解开
BUUCTF(basic)---Linux Labs
ooooohhhhhhh博客
08-01 226
用xshell连接,操作如下 连接后会出现界面需要输入密码和账号: 用户名:root 密码:123456 连接 cd / 跳转到根目录 ls查看根目录,发现flag.txt文件,下载下来 get flag.txt 将文件下载到本地,查看文件即可出现flag 。 ...
buu刷题2.1
ooooohhhhhhh博客
10-29 194
2.1.1 reverse 1(re) 64bit可执行文件,无壳 打开ida64,快捷键Shift+F12,可以打开string窗口,一键找出所有的字符串,右击setup,还能对窗口的属性进行设置 找到一个类似于Flag的字符串。 双击,查看字符串在程序哪个位置被调用了 双击跳转到该值地址处,发现有被sub_1400118C0引用 sub_ 指令和子函数起点 F5查看伪代码 分析伪代码 strncmp函数为字符串比较函数 strncmp(string1,string2,
bugku(web)--本地管理员
ooooohhhhhhh博客
07-27 150
F12查看源代码,发现dGVzdDEyMw==,是base64编码,使用工具解码,得到test123 username:admin password:test123 登录 显示:IP禁止访问,请联系本地管理员登陆,IP已被记录. 使用X-Forwarded-For进行ip绕过 X-Forwarded-For:127.0.0.1 得到flag ...
攻防世界---Web---新手模式---backup
最新发布
11-11
题目描述:在攻防世界Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者使用Burp Suite等工具来获取到密码。获取到密码后,我们可以访问备份文件,查看其中的内容,找到flag。 以下是获取密码和查看备份文件的Python代码: ```python import requests # 访问网页获取密码 url = 'http://your-ip/backup/' response = requests.get(url) password = response.text.split('password is ')[1].split('<')[0] # 访问备份文件获取flag url = 'http://your-ip/backup/flag.php' response = requests.get(url, auth=('admin', password)) flag = response.text print(flag) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值