CTF——web安全(三)

原创 已于 2024-04-22 21:40:33 修改 · 713 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

于 2024-04-19 21:26:18 首次发布

 web安全实战:题目来源:首页 - Bugku CTF

1、题目一:网站被黑

打开题目如下,中国灰客联盟,存在漏洞,建议修复,ctrl+u查看源代码,都无明显提示或信息,上工具。

御剑后台扫描工具(这里不提供):我们使用御剑扫描器,扫描网站敏感目录,包括网站后台等

扫描到如下目录,我们挨个查看

其他均无明显提示,其中shell.php这个目录访问后需要密码,不出意外我们需要破解他了。

最低0.47元/天 解锁文章

200万优质内容无限畅学
BugkuCTF网站;管理员系统;web4
s0il的博客
01-27 1420
网站 后台扫描工具(第一次用),御剑扫描:                  除了我们看到的index.php,还有shell.php: 访问一波,要密码,flag应该隐藏在这个密码后边:                                                    用Burp suite爆破: 浏览器选择burpsuite代理,打开监视,访问网站,输入密...
CTF——web安全(四)
qq_45215609的博客
04-22 1673
CTF——web安全(四) 1、题目一:本地管理员 2、题目二:Simple_SSTI_1 3、题目:Simple_SSTI_2
CTF之扫描后台
weixin_50464560的博客
11-15 2377
CTF扫描后台 1、首先进入题目,题目直接提示“你的网站存在漏洞,请及时修复!”这几个字,那必须要进行后台扫描了。这里我用到了dirsearch和御剑。 2、这里可以看到用dirsearch和御剑扫描出来的地址不一样,御剑还多了一个shell.php,这个是解题的关键。从这里可以推断出我的dirsearch里跑的字典没有御剑里的字典全面。后来我把shell.php补充到了dirsearch里的字典后,这两个就都有了。但是不得不说,这两个工具都贼好用呀 3、接下来在URL里输入shell.php,便
CTF——web安全(一)
qq_45215609的博客
04-16 634
如图所示题目,同上题相似,一个是get请求一个是post请求,get请求可以在url中直接写,post请求需要工具,这里使用firefox插件。(1)下载url,即当前页面链接(2)选择post请求(3)输入你要传递的参数(4)传递参数execute(5)得到页面返回的flag。作者建议:题目会涉及很多知识点,需要读者耐心学习,这是潜移默化的过程,需要你我共同进步,欢迎各位前辈评论指导。如下图所示,获得参数what,输出what,如果what=flag,则输出flag。
CTF网站
qq_74263993的博客
07-28 531
发现了/shell.php文件,访问一下,发现是一个后台管理登录页面。别无他法只能爆破喽,爆破后发现密码是hack。简单看一下网页和源码没发现什么明显漏洞。
bugkuCTF 网站
qq_39017218的博客
08-13 6277
1.使用“御剑后台扫描工具”扫描该网站。如下图所示,可以扫描到这样一个网址:http://120.24.86.145:8002/webshell/shell.php 2.打开该网址,页面如下图所示: 3.可以看到他让我们输入密码,接下来就直接Burp暴力破解就好了: 密码还是比较简单的:hack 4.输入密码后即可得到flag: 本题的flag为:flag{hack_...
CTF——web安全(六)
qq_45215609的博客
04-26 470
CTF——web安全(六) 题目一:成绩查询
CTF——web安全(五)
qq_45215609的博客
04-24 1293
CTF——web安全(五) bugku 1、题目一:game1
CTF——web安全(二)
qq_45215609的博客
04-17 703
CTF——web安全(二) 1、题目:你必须让他停下 2、题目:变量 3、题目:头等舱
[Bugku] web-CTF-网站
最新发布
weixin_71053667的博客
08-03 332
扫描出shell.php。使用密码字典爆破密码。
御剑后台扫描器下载e
02-18
御剑扫描器可以探测网站后台的文件,在渗透测试和做CTF赛题时非常有帮助。拿站必备神器。可扩展性高、通用性强
BugKuCTF中套路满满的题--------网站
qq_42133828的博客
12-07 2760
此题目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主题:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit中的Intrude...
BugkuCTF web11_网站 writeup
Mitchell_Donovan的博客
12-21 1411
web11.网站 原题链接 key:御剑后台扫描+burpsuite密码爆破 知识补充: webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。客在入侵了一个网站后,通常会将asp或php后门文 与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。 顾名思义,"web"的含义是显然需要服务器开放web服务,"shell"的含义是取
CTF学习第十七站——BugKu的网站与头等舱
qq_41174589的博客
10-14 344
没有任何信息,我们直接用burp抓包重发看返回,直接找到flag。题目提示网站,我们用御剑扫一下看看有没有后门。经过爆破,确认密码为hack,输入得到flag。访问shell.php。
Bugku CTF网站[WriteUP]
如有错误感谢斧正
11-10 270
dirsearch -u URL [扫描该网页下的目录和文件]根据题目提示,知道shell.php就是后门.直接访问后。选shell常用的字典这里就直接爆破出来密码了。直接到BurpSuite选择字典进行爆破。把hack输入PASS。
【bugku CTF】POST、头等舱、网站、alert、你必须让他停下、本地管理员、bp
m0_63563528的博客
02-01 2105
burpsuite抓包、爆破等模块的使用,hackbar的使用
无法访问远程ip的web端口问题解决过程
wj31932的博客
04-25 7019
本文介绍一次远程固定ip的web端口无法访问故障的处理过程,涉及路由,丢包的处理思路,供大家参考。
访问网站时IP被阻止?5个解决方法
热门推荐
yugekuajing的博客
01-25 1万+
相信很多人遇到过IP禁令:比如你在访问社交媒体、搜索引擎或电子商务网站时会被限制访问,又或者你的的账号莫名被封,这些由于网络上的种种限制我们经常会遭遇IP被封的情况,导致无法使用继续进行网络行动。在本文中,我们汇总了您的访问被 IP禁止的一些最常见原因,并提出了克服和避免此类“陷阱”的措施。一起来看看吧!
网络安全CTF ——web_文件包含(1),从消息中间件看分布式系统的多种套路
zhuceyigecsdn的博客
04-09 637
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
CTF挑战:Web安全漏洞——任意文件上传与下载实战
CTF(Capture The Flag)竞赛中,特别是在Web安全领域,"任意文件上传+任意文件下载"是一个常见的挑战,涉及到客技术的运用和Web应用程序的安全漏洞利用。这类题目通常要求参赛者通过精心构造的HTTP请求,上传...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值