360众测靶场考核 前段时间参加了 360 众测靶场的考核,感觉还挺有意思的,难度也适中,于是记录一下解题过程。 题目一共分为两个部分,第一部分是理论题,就是选择加判断,接触过 web 安全的应该都能过,也可以直接百度,主要记录第二部分的实操题。 第一关 打开网页如下图所示,直接给出了提示,struts2-013,于是直接...
打开环境是一个公司官网 随便点了点没发现什么东西 别慌 扫一下目录,看看能不能扫到后台或者敏感路径之类的突破口 果然,直接扫到了后台 尝试了一下弱密码admin/admin888成功登录 发现是一个备份文件后台 通过抓包修改备份文件内容和文件名 这里尝试上传一句话 成功连接shell 第二题 图书馆公共网络存储网盘 打开环境...
2=ilovey 然后POST带上 1=php代码就好了。 7,PHPCMS v9.1.x的 只有一个前台,其他功能用不了。想登录二维码也没有,当时没时间就没做了 8,一个加解密啥的。是一个exe,吃了不会反编译的亏 无 9,wireshark分析数据包的。还挺简单。有技巧的查找 搜索php找到上传的马。然后看那个马干了啥就好了。 10,...
记一次360众测仿真实战靶场考核WP 1,微信 User-Agent头伪造 User-Agent: Mozilla/5.0 (iPhone; CPU iPhoneOS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365MicroMessenger/6.0 NetType/2GChrome/80.0.3987.149 Safari/537.36 2,PHPMailer远程命令执行漏洞 email填写: 代码语言:javasc...