摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/CRLF 题目提示: 1. 在日志中注入错误数据 打开题目是一个登陆框,且下面有日志,尝试输入用户名acc,密码123,发现日志有了记录 显示认证失败,看上面有admin认证失败和认证成功的记 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/Improper-redirect 题目提示: 1. 不正确的重定向 2. 获取访问索引的权限 打开题目有一个登录框,且链接后面有redirect,随便输入用户名密码,显示认证失败。既然是想访 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/Install-files 题目提示: 1. 你知道phpbb吗? 2. install file 打开题目发现什么东西也没有,F12发现有注释 给了提示后面可以加phpbb 打开后依旧什么也 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-verb-tampering 题目提示: 1. HTTP动词修改 2. 身份认证 打开题目有一个登录框,瞎输入密码过不了,按F12点击取消登录框 状态码401,身份未认证,想想题目是 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-Headers 题目提示: 1. HTTP response里有信息 2. administrator身份访问网页 打开题目里面有一句话:Content并不是HTTP响应的唯一部分, 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-directory-indexing 题目提示: 1. directory indexing 2. CTRL+U 打开题目发现空空的网页,啥也没有,那就CTRL+U看看网页源码 还真 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/HTTP-POST 打开题目有一个Give a try!的框,点击让分数超过999999。 不管怎么点分数都超不过,按F12找到Elements下面发现有一个函数 可直接修改方框里的内容,使其 阅读全文
摘要:
题目链接:https://www.root-me.org/en/Challenges/Web-Server/Backup-file 打开这道题后有输入框,随便输入一些,返回错误。用burp也没发现什么。 题目给的提示:backup file 备份文件 猜测是编辑文档过程中产生的或临时备份产生的又或是 阅读全文