bugku很基础的AWD答题思路

最新推荐文章于 2023-11-07 17:59:07 发布
最新推荐文章于 2023-11-07 17:59:07 发布
阅读量3.2k 收藏 9
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_57147160/article/details/122123506
版权
本文介绍了在bugku靶机上的基础AWD答题过程,包括登录靶机、识别漏洞如一句话木马和代码执行,以及如何利用这些漏洞。还提到了数据库的加固方法,如修改弱口令、查找并使用配置文件中的账号密码,以及进行代码审计和加固。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先我们先来进行登录自己的靶机查看存在什么漏洞,其实在比赛当中靶机的漏洞都是一样的,所以一定要先去看自己的靶机:

这是ip地址和端口号。

密码和账号也会告诉你:

 

现在我们来进行登录:

 

 

登录成功,但是可以看到不是最高权限。

但是也可以进行大体分析漏洞了。

 首先我们来看一下网站:

这样的一个网站,随后我们先到网站中看一下有什么样的漏洞:

首先我们

就在includ

最低0.47元/天 解锁文章
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-8.zip
12-07
BugKu 2021 CTF AWD 排位赛 真题
CTF——AWD模式小总结
jennycisp的博客
08-30 2726
sshipXshellXftp2. 进入之后我们直接点击,xftp按钮(目的: 需要连接xftp下载文件)连接成功后如下进入/var/www将html文件下载下来 (目的是扫描是否存在后门,还有代码审计等)wafwatchbird攻击xshell4. 运行waf 之后,打开我们的web 页面,在任意一个php 页面后面输入,就会进入到waf 配置页面然后设置密码(这边我没截图我直接在本地搭建一个截图凑合看)配置好了之后就会进入到内部然后这里查看日志。
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
比赛项目代码
BugKu -- AWD --初探门路
jiuyongpinyin的博客
02-24 2161
BugKu -- AWD
Bugku S3 AWD排位赛-3(带你入门awd流程)
Welcome To Myon'Blog !
09-03 5444
1、注意事项 2、xshell连接与html目录下载 3、D盾与河马的使用(文件扫描) 4、Seay的使用(代码审计) 5、爆破对手的IP地址 6、其他 (1)mysql远程访问漏洞 (2)Redis未授权访问漏洞 (3)pwn漏洞
BugKu -- AWD --S1排位赛-2
jiuyongpinyin的博客
04-06 998
这道题目的做法和渗透测试1的做法差不多,后台界面也是同一个,包括上传shell的方法,所以这道题目的难度并不是很大。
BugKu -- AWD --S1排位赛-1
jiuyongpinyin的博客
04-06 1500
BugKu -- AWD --S1排位赛-1
Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
最新发布
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...Bugku-AWD专版用于AWD比赛中的自动化攻击框架源码+项目说明.zip
BugKu -- AWD --S1排位赛-3
jiuyongpinyin的博客
04-11 665
BugKu--AWD--S1排位赛-3。
BugKu -- AWD --S1排位赛-4
jiuyongpinyin的博客
04-11 710
BugKu -- AWD --S1排位赛-4
bugku-awd 初体验
CHAWUCIREN1的博客
05-26 7613
昨天第一次尝试打bugkuawd,菜的一批,加固时间全用来登录了,忙活半天 看到下面页面以后 putty连接 注意事项: 这个ip和普通ip有差别:192-168-1-124.pvp233.bugku.cn 注意端口是2222 连上以后,用户名输team+你的编号,比如我的用户名是team1 密码的话如果不想手输,可以shift+insert粘贴(注意:在Linux中不能用ctrl+v进行粘贴) putty如果长时间不进行操作可能会掉线,如果遇见没反应的话,不要慌,关了重新登录就行
Bugku S3 AWD排位赛-1 pwn
z1r0的博客
07-31 1300
利用格式化漏洞改a64l为system,v4传入/bin/sh即可getshell。因为s只能32,所以偏移可以采用gdb调试出来。
AWD、CFS(攻防兼备、竞速答题)可视化展示
wangdi297118061的博客
01-05 1688
AWD、CFS(攻防兼备、竞速答题),基于城市级背景的大屏可视化展示
Bugku线上AWD脚本
Mark的博客
10-27 2871
Bugku手写小脚本(大佬就不用看了,鄙人水平有限) 首先是检测网站存活脚本 import urllib.request import time opener = urllib.request.build_opener() opener.addheaders = [('User-agent', 'Mozilla/49.0.2')] for n in range(1,255): nb = str(n) target = 'http://192-168-1-'+nb+'.awd.bugku
bugku wordpress题解
rommel的博客
08-26 1193
wordpress 200 http://wp.bugku.com/ 出题花了10分钟,应该很简单的, 进网站看看就明白了。 需要用到渗透测试第一步信息收集 首先进入这个网站发现是个博客  我找了半天在所有文章中找到了这个 这个wp和后面的那一串字符看着就像账号密码 但当时本菜鸡找了半天也没找到这个要去哪输入 之后突然想到我可以扫描下这个网站的
记录一次bugku AWD模拟赛
weixin_52365980的博客
11-07 1062
使用Antsward进行连接,成功获取到flag(这里只要在文件上传时过滤文件后缀名即可做到加固的作用,咱就是说这里就不建议上waf,这里会直接导致网站访问不到,踩雷了扣100分)这里找到一个文件上传点,可以传入一句话木马进行getshell,这里使用pht或者phar后缀进行上传以免被waf检测到删除。3.审计并没有什么结果,继续分析网站,发现网站框架为Subrion CMS v 4.1.4,找到该版本可以利用的漏洞。5.这里还发现一个漏洞,在/game中有一个文件包含漏洞。1.扫描局域网内存活主机。
bugku 渗透靶场3
akxnxbshai的博客
04-01 1463
本题一共八个flag,主要是为了练习内网渗透的思路
BUGKU-CTF入门笔记
Emooooor的博客
12-05 724
CTF、BUGKU、入门、夺旗赛、网络安全、web安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ruihack

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值