XCTF攻防世界web新手区6——weak_auth
题目: 步骤: 1、进入场景,账户和密码均不填直接登录,得到提示账户——admin: 2、然后用admin和任意密码登录,并用burpsuite抓包,将抓到的包发送到intrude ...
原文:攻防世界wp--web weak_auth
打开网页是一个简单的登录界面,先随便登录进去,发现是一个check.php文件,查看代码发现: 于是就知道了,你需要一个字典,简单的说就是爆破。 所以打开burpsuite工具,对该页面进行抓取。 首先,看这个弹窗: 显示username就是admin,所以我们只需要爆破密码password就行了。 先抓取了数据包: 然后右键发送给intruder,然后就可以在测试器里看到了: 接着就会发现在位置 ...
2020-03-16 22:23 0 792 推荐指数:
相关推荐
攻防世界web新手练习区-“weak_auth”攻略
*本文为攻防世界新手练习区“weak_auth”一题的解题攻略* 根据惯例先读题: 题目标题“weak_auth”,意为“弱认证”,猜测需要用到弱密码。 题目描述:小宁写了一个登录验证页面,随手就设了一个密码(认真一点啊喂) 根据题目标题和描述得知,我们要破解小宁瞎 ...
攻防世界wp--web simple_php
首先打开网址是: 这段php代码的意思是,通过get方法得到a和b的值,然后如果$a==0 并且$a为真,得到flag1,如果b是整数或者数字字符串,就退出,然后如果$b>1234就得到f ...
攻防世界wp--web command_execution
本题考的是命令执行漏洞方面的知识。 首先,我们要知道命令执行漏洞是什么: 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shel ...
【WP】攻防世界-杂项-Misc
长期更新一波 攻防世界 的杂项题解 这东西主要靠积累吧 攻防世界:https://adworld.xctf.org.cn 因为攻防世界的题目顺序经常变化,我也不改序号了,顺着之前写的位置往下写,推荐使用 ctrl+F 搜索题目名字来定位 在语雀上建立了一个杂项知识库,收集杂项的知识点 ...
攻防世界web comment
日常练习做题 打开环境 是这样的页面 ,老规矩 扫目录,在扫目录的时候点一下功能 点发帖,随便填写内容 到了登录页面,要登录才行 这个登 ...
攻防世界-web:FlatScience
题目描述 无 题目截图 解题过程 查看robots.txt 存在login.php,admin.php dirsearch 访问login.php 查看源代码,发现提示信息 ...
攻防世界Web之fakebook
打开题目,得到一个网页,包含一个表格、两个按钮。 习惯性先查看网页源码,但没发现有效信息。 打开login.php,是一个登录页面,随手试了几个弱口令和SQL注入,没有成功,查看网页源码, ...