buuctf admin writeup
摘要:熟悉的登陆注册页面,结合结合题目admin的提示,想到是通过修改admin用户密码或伪造admin身份的方式来以admin账户。查看源码,看到了一个hint: 下载下来,是靶场的源码首先尝试抓包分析,抓取了修改密码的请求包,看到了一串session的密文 因为这里使用了flask框架,所以搜索了一下
阅读全文
posted @
2019-09-28 14:10
ainv
阅读(724)
推荐(0)
黑客榜中榜 第一期
摘要:黑客榜中榜 过关游戏第一期 通关录 找到一个好玩的小东西,记录一下打怪通关的过程。 游戏地址: http://www.cn-hack.cn/qs/5.htm 第一关 查看网页源码,找到一段js: 1 2 3 4 5 6 7 8 9 10 function PassConfirm() { var x=
阅读全文
posted @
2019-09-28 10:13
ainv
阅读(351)
推荐(0)
攻防世界 xff_referer
摘要:xff_referer [原理] X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,
阅读全文
posted @
2019-09-27 19:53
ainv
阅读(3044)
推荐(0)
攻防世界 simple——js
摘要:simple_js [原理] javascript的代码审计 [目地] 掌握简单的javascript函数 [环境] windows [工具] firefox [步骤] 1.打开页面,查看源代码,可以发现js代码,如图所示。 2.进行代码审计,发现不论输入什么都会跳到假密码,真密码位于 fromCh
阅读全文
posted @
2019-09-26 23:31
ainv
阅读(4070)
推荐(0)
攻防世界 你知道什么是cookie吗?
摘要:打开题目链接,提示我们查看cookie,cookie是HTTP协议中的一个重要参数,(对HTTP协议不是很熟悉的friends可以看看这个“HTTP协议其实就是这么简单”) 查看cookie的方法有很多,可以通过浏览器查看,不过建议直接查看HTTP报头,以加深对HTTP协议的理解。 此处使用Burp
阅读全文
posted @
2019-09-26 23:09
ainv
阅读(3749)
推荐(0)
攻防世界 你知道php备份文件吗?
摘要:题目地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5064 php的备份有两种:*.php~和*.php.bak 如果网站存在备份文件,在地址栏最末加上/index.php~或/index.php.ba
阅读全文
posted @
2019-09-26 22:58
ainv
阅读(1063)
推荐(0)
攻防世界 robots题
摘要:来自攻防世界 robots [原理] robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所
阅读全文
posted @
2019-09-26 22:47
ainv
阅读(721)
推荐(0)
bugku 管理员系统
摘要:首先打开网站会发现 然后照常看一下后台 发现后台有一串用base64加密密码然后使用base64解密后发现是test123 猜测一下这个是密码 然后用admin当作用户名用test123当作密码进行登录 然后会发现是这个 IP禁止访问 说明需要伪造一个IP地址 所以使用抓包工具bp进行抓包 然后 伪
阅读全文
posted @
2019-09-26 13:18
ainv
阅读(270)
推荐(0)
bugku 速度要快
摘要:打开网页 使用bp抓包 看橙色部分然后发现是base64加密 然后解密 得出答案 然后提交
阅读全文
posted @
2019-09-24 23:06
ainv
阅读(134)
推荐(0)
bugku 输入密码查看flag
摘要:首先进入网页会看到一个网页 然后用bp进行爆破 首先点击clear 然后选中刚下随便输入进去的密码点击add然后设置一下类型 然后进行开始攻击 攻击过程中点击length 根据长度可以判断出密码然后回到网页输入密码 得到flag
阅读全文
posted @
2019-09-24 22:40
ainv
阅读(781)
推荐(0)
bugku 头等舱
摘要:先查看题目发现页面是这一个 然后打开后台F12 发现后台什么也没有 然后使用抓包burpsuit 然后发现答案就在其中 (首先右键转到repeater然后点击go)
阅读全文
posted @
2019-09-23 23:37
ainv
阅读(425)
推荐(0)
bugku 你必须让他停下
摘要:首先打开链接会发现一个不断刷新的网页 然后使用抓包工具burpsuit抓网页 然后右键点击跳转到repeater 然后点击go一直点击 注意黄色区域的变化然后在点击过程中会发现flag 然后拿到答案
阅读全文
posted @
2019-09-23 23:29
ainv
阅读(200)
推荐(0)
bugku 点击1000000次
摘要:首先看一下题目发现进入网页之后是这个样的 然后点击一下发现是有变化 然后用F12 然后选择post data 然后输入clicks=1000000 然后就会发现答案 (clicks 是点击的意思)
阅读全文
posted @
2019-09-23 14:44
ainv
阅读(215)
推荐(0)
bugku web 5
摘要:首先进入网站http://123.206.87.240:8002/web5/index.php 进入之后就会看到 然后点击F12就会打开后台 然后就会发现有一串东西就是这个然后经过搜索是jsfuck 然后找一下什么是jsfuck( https://blog.csdn.net/qq_36539075/
阅读全文
posted @
2019-09-21 22:27
ainv
阅读(198)
推荐(0)
bugku 矛盾 30
摘要:首先打开网址链接会发现一串代码 然后进行分析代码的意思首先是一个函数查一下这个函数 然后会发现现代码第一句写的是输入数字,然后会发现第二行有一个感叹号意思是输入的如果不是数字则回复数字 如果输入数字则会出现flag 先试一下根据get函数 输入的不是数字 会发现没有结果 然后尝试一下数字发现也不行
阅读全文
posted @
2019-09-18 22:31
ainv
阅读(305)
推荐(0)
bugku 域名解析题 50
摘要:什么是域名解析???? 首先我们在Windows上找到文件“C:\Windows\System32\drivers\etc\hosts” 然后找到host 双击用记事本打开然后填写上黄色区域上的东西 然后进网站搜索
阅读全文
posted @
2019-09-18 21:53
ainv
阅读(351)
推荐(0)
bugku 好多压缩包
摘要:https://www.cnblogs.com/WangAoBo/p/6951160.html
阅读全文
posted @
2019-09-15 19:35
ainv
阅读(169)
推荐(0)
浙公网安备 33010602011771号