bugku ctf 网站被黑 (这个题没技术含量但是实战中经常遇到)

最新推荐文章于 2025-06-14 01:01:06 发布
最新推荐文章于 2025-06-14 01:01:06 发布
阅读量7.1k 收藏 9
点赞数 3
CC 4.0 BY-SA版权
分类专栏: bugku ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42777804/article/details/81626922
本文通过实战演示了如何使用御剑扫描工具定位WebShell位置,并借助Burp Suite进行暴力破解的过程。最终成功登录后台并获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

废话不多说 ,直接打开 发现  ,哇 !!!!!好华丽的 界面   

 

而且还有东西跟着鼠标走

 

这个该怎么弄?????????????????????????

 

题目说了  实战  经常遇到  

那么  直接用 御剑跑一下

五分钟后。。。。。。。。。。

 

发现有两个  ,

我们打开第二个  

http://120.24.86.145:8002/webshell/shell.php

发现后台登陆界面  

 

 

之后用  burp   暴力抓取

用burp自带的  字典 passwords

 

 

然后再等几分钟,上趟厕所。

发现不行不行不行  啊啊啊啊啊啊啊啊  居然都一样

 

 

那我换一个    Short words

这个比较多 ,等的时间久一点 ,,,,

烦 

终于

发现了不同  

 

直接输入密码  hack

 

 

得到 flag    flag{hack_bug_ku035}

 

CTFBugku网站
weixin_41607190的博客
09-25 9996
点开是这么一个页面 晃来晃去还挺好玩的 标网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
BugKuCTF中套路满满的--------网站
qq_42133828的博客
12-07 2763
目进入后页面非常的华美,其实小编也想要这种鼠标类型的桌面,但苦于久久搜寻无果,一言难尽啊。。。。。 好了话不多说,直接进入主:  网站,顾名思义,要掉他,但是怎么,放心,这里只是一个简单的拿到后台shell的操作 首先,先用御剑扫一波   扫完结束后,有两个网页,进入第二个,得dao:     接下来就是爆破他的密码,使用burpsuit中的Intrude...
Bugku网站
金 帛的博客
03-21 4897
Bugku之WP
Bugku-网站
最新发布
2401_87218800的博客
06-14 121
(2)、使用dirsearch对其扫描,发现存在一个shell.php,如果我记错的话,shell在web里面有后门的意思,这也跟目描述:网站客会不会留下后门挂钩了。(5)、既然如此,bp抓包,构造XXF头:X-Forwarded-For: 127.0.0.1实现ip伪造,然后右键发送到入侵模块(intruder)(6)、选中111111点击添加payload位置,接着从列表中添加密码,选择sinper攻击类型,开始攻击。(4)、尝试了几个弱密码都不行,根据提示可能跟限制ip有关。
bugku 网站
CTF
02-01 521
直接爆出pass:hack,输入登录即刻出现flag。flag{5d72824ac552be6dd0c5b88b5c444e93}打开容器后发现是页,先查看源代码,一般都是先查看源代码。接着直接进行dirsearch扫描,发现一个shell.php文件。访问后发现是一个webshell页面。先尝试进行登录,发现不成功。直接用bp抓包爆破。
Bugku——网站
weixin_71914594的博客
10-18 622
依然是F12看看能不能找到什么有用的信息。那就继续扫目录看看能不能找到突破点。既然只用爆破一个参数 那就不用修改。爆破完了 筛选一下不一样的返回值。右键发送到Intruder模块。还得是dirsearch神器。找出来shell.php。Bugku——网站。那就上bp抓包爆破看看。
bugku web 网站
l181954187的博客
03-31 326
先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了。F12看源码啥也有,用dirsearch扫一下目录看看。还提示了,估计应该限制ip了,抓包看看。使用自带全量字典扫描单个url的目录。进去看看,随便试试几个密码都不对。开始攻击,成功获得密码。输入密码得到flag。
BugkuCTF网站;管理员系统;web4
s0il的博客
01-27 1422
网站 后台扫描工具(第一次用),御剑扫描:                  除了我们看到的index.php,还有shell.php: 访问一波,要密码,flag应该隐藏在这个密码后边:                                                    用Burp suite爆破: 浏览器选择burpsuite代理,打开监视,访问网站,输入密...
BugkuCTF Web篇
2201_75891821的博客
07-30 2100
Bug ku CTF web篇
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
BUGKU-WEB 网站
天泽岁月
02-16 802
BUGKU-WEB 网站,需要找后门文件
bugku网站
qq_52718293的博客
01-10 2413
能两个点 根据提示(网站客会不会留下后门) 1.首先尝试使用御剑扫描网站的目录 ![在这里插入图片描述](https://img-blog.csdnimg.cn/bcda5f9a940e4d2cac8a88ab56eb4846.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAKuWwj-eRtg==,size_20,color_FFFFFF,t_70,g index.php shell.
bugku 网站(御剑突破+bp抓包爆破)
ANYOUZHEN的博客
10-26 2072
今天我们写一道bugku上的网站,首先我们启动场景,发现网站被挂了页,这种时候,我们开启御剑进行后台扫描,如下图所示 我们从中看到了shell.php,我们点进去,发现了一个后门 我们尝试输入密码1111,当然不成功了,我们开代理,进行抓包,装入字典,进行爆破 这里和大家说一下啊,这个抓包的爆破并不是和zip爆破那个一样会直接跳出来密码,我们要去观察分析它的状态和长度,本中我们看到hack的长度明显和其他的密码不同,说明这个就是答案,我们输入hack,得到flag
Bugku网站-ctf练习
lshandel的博客
07-11 653
记录一下一道简单但是自己尽量的不借助工具创造工具解决的一道,好像大家都是用御剑解决的,但是macOS下是有这个软件的,所以这里也提供一个mac下的解决方法 目描述 网站客会不会留下后门 需要的工具 1.dirsearch 直接github下载就可,20M且在命令行使用非常方便 安装包下载地址:https://github.com/maurosoria/dirsearch 2.python3.6以上版本(版本要求是为了使用dirsearch) 首先分析一波 很嚣张,获得webshell以后
bugku CTF】POST、头等舱、网站、alert、你必须让他停下、本地管理员、bp
m0_63563528的博客
02-01 2117
burpsuite抓包、爆破等模块的使用,hackbar的使用
WEB_网站
weixin_30244681的博客
02-09 313
目链接:http://123.206.87.240:8002/webshell/ 解: 进入目,炫酷的界面 标网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。 御剑软件下载地址:https://pan.baidu.com/s/1YUDI2d8aOsqL80XXeQYhGA 扫一下得到后台页面 在URL中输入shell.php得到如...
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2951
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
2025版最新网络安全ctf比赛/学习资源整理,解工具、比赛时间、解思路、实战靶场、学习路线,推荐收藏!
Libra1313的博客
02-10 2033
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值