刷题 [网鼎杯 2018]Fakebook
解题思路 首先登陆页面发现是这样的: 查看源码 源码很正常,也没有什么特别的 web目录扫描 我用的是dirmap工具扫描,扫描结果保存在一个txt文件中,结果可知没什么后台。 r ...
原文:[网鼎杯]-Fakebook
网鼎杯Fakebook 以我的实力做出网鼎杯这道题实在不现实,不过凡事都有第一次。当时做第一道CTF题也是云里雾里,多锻炼就好了。 x 如图,题目是个blog板块,仔细观察以后暂时没有发现什么线索 有大佬是用nikto扫描后台找到了爬虫协议,但是自己拿御剑就扫不出来。 查看robots.txt,发现有文件是禁止访问的,是个网页源码的备份 访问以后就把文件下载下来了,查看源码 审计一下,有 cons ...
2020-04-02 11:56 0 807 推荐指数:
相关推荐
[网鼎杯2018]fakebook题解
首先注册一个账号,注意blog是一个http或https的链接的形式,否则将无法通过。 点击用户名进入用户界面,根据页面内容,初步怀疑本题考查SSRF。不过由于不能使用file等协议,感觉应该需 ...
刷题记录:[网鼎杯]Fakebook
目录 刷题记录:[网鼎杯]Fakebook 一、涉及知识点 1、敏感文件泄露 2、sql注入 二、解题方法 刷题记录:[网鼎杯]Fakebook 题目复现链接:https ...
buu-[网鼎杯 2018]Fakebook
考点1.sql注入 启动靶机得到如下页面: 发现有login和join两个选项 Join就相当于注册,注册完它会自动登录 然后来到如下页面 ...
buuctf-[网鼎杯 2018]Fakebook 1
这道题,也是费了很大的劲,慢慢理解慢慢消化,今天,才开始把wp写出来 首先我们先扫描一波目录,用dirsearch扫一手,发现有robots.txt文件 dirseach自带的字典在db目录 ...
网鼎杯-Fakebook-反序列化和SSRF和file协议读取文件
0x00知识点:SSRF SSRF (Server-side Request Forge, 服务端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是 ...
[原题复现+审计][网鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
简介 原题复现: 考察知识点:SSRF、反序列化、SQL注入 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此 ...
2020 网鼎杯wp
2020 网鼎杯WP 又是划水的一天,就只做出来4题,欸,还是太菜,这里就记录一下做出的几题的解题记录 AreUSerialz 知识点:反序列化 打开链接直接给出源码 这里首先就是要满足payload的字符的ASCII在32至125之间,其次就是要绕过 ...