2021年中职“网络安全“江西省赛题—B-10:网页渗透

已于 2023-11-15 14:55:34 修改
阅读量2.5k 收藏 22
点赞数 9
分类专栏: 中职网络安全 文章标签: web安全 安全 http
于 2022-06-14 10:04:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57060854/article/details/125244677
版权

2021年中职"网络安全"江西省赛题—B-10:网页渗透-21

B-10:网页渗透-21

任务环境说明:
 服务器场景:Server21
 服务器场景操作系统:未知(封闭靶机)
 用户名:未知 密码:未知

  1. 访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交;
    在这里插入图片描述

由题可知即允许ERROP浏览器访问
解题思路:burp抓包改数据

在这里插入图片描述

  1. 访问服务器网站目录2,根据页面信息完成条件,将获取到的flag提交;
    在这里插入图片描述

burp抓包,增加X-Forwarded-For: 192.168.1.1

在这里插入图片描述

  1. 访问服务器网站目录3,根据页面信息完成条件,将获取到的flag提交;
    在这里插入图片描述

burp抓包,好像要绕过登录

在这里插入图片描述
在这里插入图片描述

发现payload=id=2’ or slepp(6)# 页面成功催眠了3秒
直接id=2’ or 1=1# 绕过登录就行

在这里插入图片描述

  1. 访问服务器网站目录4,根据页面信息完成条件,将获取到的flag提交;
    在这里插入图片描述

这两题考的都是过滤,这题用**") 和 # 符号**过滤

在这里插入图片描述
在这里插入图片描述
5. 访问服务器网站目录5,根据页面信息完成条件,将获取到的flag提交;
在这里插入图片描述

在url中注入id=2’ oorr 1=1–+

在这里插入图片描述

  1. 访问服务器网站目录6,根据页面信息完成条件,将获取到的flag提交;

使用sqlmap 扫描 发现有一个 hello数据库,然后里面有一个user表,里面有id和username字段

在这里插入图片描述

输入 id=2779/72690/8980 都可以获得flag

在这里插入图片描述

acaciaf
关注
专栏目录
江西 网页渗透-21
zx66661的博客
04-25 908
1.访问服务器网站目录1,根据页面信息完成条件,将获取到的flag提交; 抓包 更改User-Agent:的内容 Flag:zTdKVpUKJu 2.访问服务器网站目录2,根据页面信息完成条件,将获取到的flag提交; 根据目要求,添加ip,通过抓包获得flag Flag:6i3zXHDPOx 3.访问服务器网站目录3,根据页面信息完成条件,将获取到的flag提交 发现 payload = id=2' or sleep(3)#
2021中职网络安全江西省赛—B-8:Web渗透测试 2022中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
qq_61988806的博客
03-02 1583
2021中职网络安全江西省赛—B-8:Web渗透测试 2022中职组“网络安全”赛项吉安市竞赛B-1:数据库服务渗透测试
2021江苏省职业院校技能大赛中网络安全
PushSafe
04-04 2236
2021江苏省职业院校技能大赛中职 网络信息安全赛项试卷(学生组) 一、 竞赛时间 共计180分钟。 二、 竞赛阶段 竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段单兵模式系统渗透测试 任务一 攻击日志分析 100分钟 10 任务二 系统漏洞利用与提权 10 任务三 代码审计 12 任务四 Web安全渗透测试 12 任务五 Linux操作系统渗透测试 12 任务六 端口扫描Python渗透测试 14 备战阶段 攻防对抗准备工作 20分钟 0 第二阶段分组对抗 系统加固 15分钟 3
2024网络安全比赛--网页渗透测试中职组(超详细)_渗透测试比赛
最新发布
2401_84264536的博客
06-24 328
2.访问服务器网站目录2,根据页面信息完成条件,将页面中的flag提交;3.访问服务器网站目录3,根据页面信息完成条件,将页面中的flag提交;4.访问服务器网站目录4,根据页面信息完成条件,将页面中的flag提交;5.访问服务器网站目录5,根据页面信息完成条件,将页面中的flag提交;6.访问服务器网站目录6,根据页面信息完成条件,将页面中的flag提交;**√服务器场景:Server2127√服务器场景操作系统:未知(封闭靶机)√用户名:未知 密码:未知。
网站渗透
11-19
文档存放百度云链接 链接失效 联系我
网页渗透教程
04-30
关于网页任意上传漏洞的讲解以及工具关于网页任意上传漏洞的讲解以及工具
Penetration Test 渗透测试
blogfeifei
03-14 547
目录 Author : ZwelLLast Updated : 2007.12.16 零、前言一、简介二、制定实施方案三、具体操作过程四、生成报告五、测试过程中的风险及规避参考资料FAQ集 零、前言 渗透测试在未得到被测试方授权之前依据某些地区法律规定是违法行为。 这里我们提供的所有渗透测试方法均为(假设为)合法的评估服务,也就是通常所说的道德黑客行为(Ethical hackin...
2021中职网络安全江西省赛—B-8:Web渗透测试
m0_64312309的博客
10-06 2334
2021中职网络安全江西省赛—B-8:Web渗透测试
2021中职网络安全江西省赛—B-5:应急响应
m0_64312309的博客
09-30 2725
2021中职网络安全江西省赛—B-5:应急响应
2023内蒙古自治区中职网络安全-B模块
06-01
《2023内蒙古自治区中职网络安全-B模块详解》 网络安全是现代信息技术领域的重要组成部分,尤其在职业教育中,网络安全技能的培养至关重要。2023内蒙古自治区的中职网络安全比赛,旨在考察参赛者对Web安全...
中职网络安全 2021湖南省省赛解析
04-20
### 中职网络安全 2021湖南省省赛解析 #### 一、签到 - **任务描述**: - 任务一:签到100分)。此任务旨在检验参赛选手对于比赛规则的理解与熟悉程度。 - **提交要求**:将“123456”作为FLAG...
2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
07-06
2022中职网络安全广东省技能竞赛代码渗透测试flag0072渗透环境
2023中职网络安全竞赛——CMS网站渗透解析
旺仔Sec&blog
03-06 4074
2023中职网络安全竞赛——CMS网站渗透解析
web渗透测试基本步骤
weixin_34313182的博客
03-05 1375
基本常见步骤: 一 、信息收集 要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等 二、收集目标站注册人邮箱 1.用社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。 2.用邮箱做关键词,丢进搜索引擎。 3.利用搜索到的关联信息找出其他邮进而得到常...
网络安全Web渗透测试(全流程)
jennycisp的博客
11-02 2371
发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下发现:是Windows Server 2003系统,OK,到此为止。
网站渗透实战试验(仅供参考)
amaoatao的博客
03-10 5710
首先收集必要的信息 发现存在php探针,phpinfo,phpmyadmin 常用的垃圾弱口令登录失败。 尝试登录后台,网站使用帝国cms7.2系统 弱口令登录失败,使用网络上帝国cms的通用漏洞,行不通失败。 在知道绝对路径的情况下,dba权限的sql注入可以直接执行os-shell命令拿shell(下载帝国下来看!)。 扫描开放端口,反查域名,寻找最可能存在sql注入的网站。...
web渗透思路及总结
qq_53058639的博客
03-19 2137
1,网上许多的系统可以直接Telnet到目标,大多会返回欢迎信息的,返回的信息包 含了该端口所对应的服务软件的版本号,这个对于寻找这个版本的软件的漏洞很重 要,如果对方开了Telnet,那么可以直接得到对方的系统类型和版本号,这个对于 挖掘系统的漏洞很重要(对于溢出来说,不同版本的系统和语言版本的系统来说, RET地址,JMP ESP,地址是不同的)。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。
WEB网络渗透的基础知识
2201_75362610的博客
03-01 5038
网络渗透是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课,在他们口中通常被称为”渗透测试。
2023网络安全比赛--CMS网站渗透中职组(超详细)
Aluxian_的博客
03-15 5044
新建一个文本文档,重命名为webshell.asp,并向webshell.asp中写入一句话木马。1.使用渗透机对服务器信息收集,并将服务器中网站服务端口号作为flag提交;4.使用渗透机对服务器渗透,并将网站中所用的数据库的表名作为flag提交;5.使用渗透机对服务器渗透,将网站管理员的加密密码作为flag提交;3.使用渗透机对服务器渗透,将可渗透页面的名称作为flag提交;6.使用渗透机对服务器渗透,将服务器的本地名称作为flag提交。2.使用渗透机对服务器信息收集,将网站的名称作为flag提交
2023甘肃省职教网络安全竞赛赛及注意事项
2023甘肃省职业技能大赛“网络安全”赛项(教师组)样共分为A、B、C、D四个模块,包括基础设施设置与安全加固、网络安全事件响应、数字取证调查和应用安全、CTF 夺旗-攻击以及CTF 夺旗-防御。比赛总分为1000分,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

acaciaf

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值