初试ctf wp
2019-02-21 18:40
155 查看
初试ctf wp
X-forwarded -for和reffer
根据提示,想到要请求真是的ip,于是我用burpsuite,拦截后到repeater,添加xff,这里遇到些问题,到r后,必须先go,再去添加xff才能有正确的提示,经验吧积累。后面又试了又不是这样,纳闷。
看到“必须来自www.google.com”所以想到还要加referer
flag就出现了
实验证明,xff可以不用大写,小写也行
密码破解题
首先随便输入,它会提示要我们用admin作为用户名登陆,照做。之后显示密码错误,然后打开这时的源代码,看见注释“dictionary”,所以需要用字典爆破。在github上下载好字典到文档中(其实就是密码集合),用burpsuite拦截,到intruder,即使再做一遍,依然出现很多问题,郁闷。拦截后要在proxy界面就把username和password写上,不能到intruder写,我也不知道why。到intruder后,设置爆破点,load字典,开始attack。发现123456那一行的后面数字与其他不同,点出来,在点到response,就发现flag了。
在拦截的时候最好是跳回登陆界面,在输入用户名和密码的时候在拦截,这时候很多格式上的东西就会自动帮你写好,避免出现问题。
webshell
这题用的蚁剑,还有另一个方法,是用hackbar post一些命令,但好像是关于php的,我还不懂。
对于蚁剑,下载好加速器和代码后,添加数据,打开,就看到了flag.txt,但我不太明白为什么用dirsearch扫不出来flag.txt。而且不明白密码为啥是shell,是因为题目提示中的post shell呢?还是啥?
相关文章推荐
- 寒假第一周CTFwp
- 嘉韦思杯ctf wp
- CTF-传统知识+古典密码 WP
- SUSCTF re方向部分wp
- CTF-加了料的报错注入 WP
- 寒假第一周的CTFwp
- 南邮ctf训练平台逆向试题wp
- CTF一些入门题目的wp(一)
- WP 4 i春秋_百度杯”CTF比赛(九月第一场)
- 寒假第二周的CTFwp
- CTF-啦啦啦 WP
- IceCTF 部分WP
- 南邮ctf-web-wp
- HITCTF 2018 wp [我真是菜鸟]
- hgame-2018 CTFwp(杭电信安)week1
- CTF实验吧 这就是一个坑wp (明文攻击)
- hgame-2018 CTFwp(杭电信安)week2
- gdb初试 --------CG-CTF 480小时精通C++
- 2016 icectf dear_diary wp
- hgame-2018 CTFwp(杭电信安)week3