刷題 [網鼎杯 2018]Fakebook
解題思路 首先登陸頁面發現是這樣的: 查看源碼 源碼很正常,也沒有什么特別的 web目錄掃描 我用的是dirmap工具掃描,掃描結果保存在一個txt文件中,結果可知沒什么后台。 r ...
原文:[網鼎杯]-Fakebook
網鼎杯Fakebook 以我的實力做出網鼎杯這道題實在不現實,不過凡事都有第一次。當時做第一道CTF題也是雲里霧里,多鍛煉就好了。 x 如圖,題目是個blog板塊,仔細觀察以后暫時沒有發現什么線索 有大佬是用nikto掃描后台找到了爬蟲協議,但是自己拿御劍就掃不出來。 查看robots.txt,發現有文件是禁止訪問的,是個網頁源碼的備份 訪問以后就把文件下載下來了,查看源碼 審計一下,有 cons ...
2020-04-02 11:56 0 807 推薦指數:
相關推薦
[網鼎杯2018]fakebook題解
首先注冊一個賬號,注意blog是一個http或https的鏈接的形式,否則將無法通過。 點擊用戶名進入用戶界面,根據頁面內容,初步懷疑本題考查SSRF。不過由於不能使用file等協議,感覺應該需 ...
刷題記錄:[網鼎杯]Fakebook
目錄 刷題記錄:[網鼎杯]Fakebook 一、涉及知識點 1、敏感文件泄露 2、sql注入 二、解題方法 刷題記錄:[網鼎杯]Fakebook 題目復現鏈接:https ...
buu-[網鼎杯 2018]Fakebook
考點1.sql注入 啟動靶機得到如下頁面: 發現有login和join兩個選項 Join就相當於注冊,注冊完它會自動登錄 然后來到如下頁面 ...
buuctf-[網鼎杯 2018]Fakebook 1
這道題,也是費了很大的勁,慢慢理解慢慢消化,今天,才開始把wp寫出來 首先我們先掃描一波目錄,用dirsearch掃一手,發現有robots.txt文件 dirseach自帶的字典在db目錄 ...
網鼎杯-Fakebook-反序列化和SSRF和file協議讀取文件
0x00知識點:SSRF SSRF (Server-side Request Forge, 服務端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標是 ...
[原題復現+審計][網鼎杯 2018] WEB Fakebook(SSRF、反序列化、SQL注入)
簡介 原題復現: 考察知識點:SSRF、反序列化、SQL注入 線上平台:https://buuoj.cn(北京聯合大學公開的CTF平台) 榆林學院內可使用信安協會內部的CTF訓練平台找到此 ...
2020 網鼎杯wp
2020 網鼎杯WP 又是划水的一天,就只做出來4題,欸,還是太菜,這里就記錄一下做出的幾題的解題記錄 AreUSerialz 知識點:反序列化 打開鏈接直接給出源碼 這里首先就是要滿足payload的字符的ASCII在32至125之間,其次就是要繞過 ...