启动靶机后 可以看到 是一个登陆页面 查看源代码: 没有有用的信息 只是单纯的html页面 随便填一个 用户:admin 密码:123 提示密码为四位 怀疑是暴力破解 使用burp进行单点爆破 payload设定 暴力完成 查看length不同的数据包 返回flag: flag{6982d5b6-a2f8-48d8-aec6-9b27417de3eb} [ACTF2020 新生赛]Include...
点击启动靶机,出现的页面点击所给的http链接,得到如下界面 Index of这个页面啥也没有,没啥用 返回第一个界面,给出了ssh以及映射地址和端口(这个地址+端口是随机的)所以直接启动ssh链接即可 however!!!这里要 banter一下BUUCTF网站的这个Linux Labs 1测试中的这句话这...
浏览器 F12 选择 HackBar,在 URL 后加入 GET 部分数据,在 Post data 框中输入 POST 部分数据,点击 Execute 即可。 在页面的最后,就会出现想要的数据! BUU SQL COURSE 1 启动靶机 BUU 新闻网,看起来还挺丰富,得好好研究研究! 研究页面 一共五个可点击部分,热点列表有三个新闻可点击,分别为以下内容: 点击登...
直接读flag读不到,读取/etc/hosts以及/proc/net/arp /proc/net/arp获得靶机的内网IP地址,对内网主机进行探测 按道理这个ip我修改exp里的url用http访问可以得到主页的内容但是并没有,我这里也没有找到内网主机的IP地址,就找到个开着iis的可能环境出问题了,按照wp过一遍 根据isrc的代码可知,要结合gopher协议打FPM ...
启动靶机后 会看到这种界面 尝试用burpsuite抓包 用Firefox设置burp suite代理后 随便输入用户名 密码 可以得到 tips:多放包几次 的抓取页面 我们接下来将Raw请求发给repeater 点击发送后 可以得到这个response 通过最后一句 用户名错误 可以推测应该先得出用户名...