刷題 [網鼎杯 2018]Fakebook
解題思路 首先登陸頁面發現是這樣的: 查看源碼 源碼很正常,也沒有什么特別的 web目錄掃描 我用的是dirmap工具掃描,掃描結果保存在一個txt文件中,結果可知沒什么后台。 r ...
原文:刷題記錄:[網鼎杯]Fakebook
目錄 刷題記錄: 網鼎杯 Fakebook 一 涉及知識點 敏感文件泄露 sql注入 二 解題方法 刷題記錄: 網鼎杯 Fakebook 題目復現鏈接:https: buuoj.cn challenges 參考鏈接:解網鼎杯一道web題 fakebook 一 涉及知識點 敏感文件泄露 訪問robots.txt可以得到源碼的備份地址 sql注入 常規注入,不說了 二 解題方法 這道題比較簡單,我靠 ...
2019-09-05 20:54 0 1420 推薦指數:
相關推薦
[網鼎杯]-Fakebook
網鼎杯Fakebook 以我的實力做出網鼎杯這道題實在不現實,不過凡事都有第一次。當時做第一道CTF題也是雲里霧里,多鍛煉就好了。 0x01 如圖,題目是個blog板塊,仔細觀察以后暫時沒有發現什么線索 有大佬是用nikto掃描后台找到了爬蟲協議,但是自己拿御劍就掃不出來。 查看 ...
刷題記錄:[網鼎杯 2020 玄武組]SSRFMe
題目復現鏈接:https://buuoj.cn/challenges 參考鏈接:[網鼎杯 2020 玄武組]SSRFMe 網鼎杯玄武組部分web題解 初探Redis-wdb玄武組ssrfme&pwnhub公開賽 ssrf cURL/parse_url 解析差異 詳見 ...
刷題記錄:[網鼎杯 2020 朱雀組]Think Java
題目復現鏈接:https://buuoj.cn/challenges 參考鏈接:2020網鼎杯朱雀組部分Web題wp 第二屆網鼎杯(第三場:朱雀組)Think Java 網鼎杯2020朱雀組-web(Think Java) 我討厭Java jar逆向 jd不說 ...
[網鼎杯2018]fakebook題解
首先注冊一個賬號,注意blog是一個http或https的鏈接的形式,否則將無法通過。 點擊用戶名進入用戶界面,根據頁面內容,初步懷疑本題考查SSRF。不過由於不能使用file等協議,感覺應該需 ...
buu-[網鼎杯 2018]Fakebook
考點1.sql注入 啟動靶機得到如下頁面: 發現有login和join兩個選項 Join就相當於注冊,注冊完它會自動登錄 然后來到如下頁面 ...
buuctf-[網鼎杯 2018]Fakebook 1
這道題,也是費了很大的勁,慢慢理解慢慢消化,今天,才開始把wp寫出來 首先我們先掃描一波目錄,用dirsearch掃一手,發現有robots.txt文件 dirseach自帶的字典在db目錄 ...
網鼎杯-Fakebook-反序列化和SSRF和file協議讀取文件
0x00知識點:SSRF SSRF (Server-side Request Forge, 服務端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標是 ...