BugkuCTF-网站被黑解析

点开链接,实话说,这网页还挺好看的,所以我就玩了会

 

习惯性F-12,发现没什么价值,而且他的网址有webshell,这是网页后门的标志,所以我们用御剑扫描一下,御剑链接:https://pan.baidu.com/s/1JRpOT2aK1na-r2GCAnG1AQ

,发现了一个shell.php,打开它就会显示一个密码框

我们就需要用bp进行抓包爆破密码了,我们先随便输入一个密码,在更改浏览器连接设置为手动,http为127.0.0.1,端口为8080,这里建议用火狐浏览器的Foxyproxy附加组件,https://blog.csdn.net/Bul1et/article/details/89470104

 

右击,send to intruder ,然后点击payloads(有效载荷),在payloads options(有效载荷选项)下的Add from list(从列表中添加)下的passwords(密码),然后点击右上角的start attack(开始攻击),然后寻找Length(长)不一样的payload(有效载荷),那个就是密码,然后回到网页输入就行了(记得关掉Foxyproxy在输入执行)

 

 

 

 

 

posted @ 2020-01-13 10:58  starshine0618  阅读(1728)  评论(0编辑  收藏  举报