随笔分类 - RootMe - WEB - SERVER
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/CRLF 题目提示: 1. 在日志中注入错误数据 打开题目是一个登陆框,且下面有日志,尝试输入用户名acc,密码123,发现日志有了记录 显示认证失败,看上面有admin认证失败和认证成功的记
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/Improper-redirect 题目提示: 1. 不正确的重定向 2. 获取访问索引的权限 打开题目有一个登录框,且链接后面有redirect,随便输入用户名密码,显示认证失败。既然是想访
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/Install-files 题目提示: 1. 你知道phpbb吗? 2. install file 打开题目发现什么东西也没有,F12发现有注释 给了提示后面可以加phpbb 打开后依旧什么也
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering 题目提示: 1. HTTP动词修改 2. 身份认证 打开题目有一个登录框,瞎输入密码过不了,按F12点击取消登录框 状态码401,身份未认证,想想题目是
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-Headers 题目提示: 1. HTTP response里有信息 2. administrator身份访问网页 打开题目里面有一句话:Content并不是HTTP响应的唯一部分,
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-directory-indexing 题目提示: 1. directory indexing 2. CTRL+U 打开题目发现空空的网页,啥也没有,那就CTRL+U看看网页源码 还真
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-POST 打开题目有一个Give a try!的框,点击让分数超过999999。 不管怎么点分数都超不过,按F12找到Elements下面发现有一个函数 可直接修改方框里的内容,使其
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/Backup-file 打开这道题后有输入框,随便输入一些,返回错误。用burp也没发现什么。 题目给的提示:backup file 备份文件 猜测是编辑文档过程中产生的或临时备份产生的又或是
阅读全文
摘要:题目链接:http://challenge01.root-me.org/web-serveur/ch2/ 打开题目提示:you are not the "admin" browser! 1. 所以访问时添加一个参数即可 2. 也可以用burp修改user agent参数为admin flag:rr$
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/Weak-password 题目提示:弱密码 点开有一个输入框,尝试输入 用户名:admin 密码:admin 这就进去了。。。。。。。 flag:admin
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/Command-injection 题目给了提示: 1. 命令注入 2. flag在index.php 打开题目后一个输入框,先输入127.0.0.1,发现是显示ping某个IP的网络状况。
阅读全文
摘要:题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-Open-redirect 点开题目后发现有三个图标链接,点击slack,发现链接后面加了字符串然后跳转到了slack的官网。先用burp suite分析下 果然后面加了一串数字,看
阅读全文
摘要:题目链接: http://challenge01.root-me.org/web-serveur/ch1/ 入门题,打开浏览器,按F12可看到一段注释 得到flag:nZ^&@q5&sjJHev0
阅读全文
浙公网安备 33010602011771号