ctfshow web入门黑盒测试web380-384

1.web380

对网站进行目录扫描,没有发现敏感的目录文件

访问page.php,发现报错

访问page.php?id,发现报错中带有file_get_contents这个函数,可以直接尝试直接读取flag文件(page.php?id=flag),最后发现成功得到flag

2.web381

查看index.php源码,发现有一个alsckdfy

访问这个alsckdfy目录下的文件得到flag

3.web382

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框

尝试万能密码 admin' or 1=1#成功得到flag

尝试一些弱密码 admin 123456 admin666 admin888等,admin888也是这题的密码,也可以得到flag

4.web383

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框,尝试万能密码 admin' or 1=1#成功得到flag

5.web384

密码爆破,告诉了一二位是小写字母,345位是数字

生成一个字典的脚本

python 复制代码
#97-122
for i in range(97,123):
    for j in range(97,123):
        for k in range(0,10):
            for l in range(0,10):
                for m in range(0,10):
                    with open("1.txt","a+") as f:
                        f.write(chr(i)+chr(j)+str(k)+str(l)+str(m)+'\n')
                        

大概会生成2626 1010 10=676000个密码

爆破会比较慢最后密码是xy123

登录得到flag

相关推荐
leijiwen12 小时前
花尖墨 Web3 水果品牌白皮书
web3
Jamie201901061 天前
web3云服务和传统云有啥区别
web3
链上Sniper2 天前
智能合约状态快照技术:实现 EVM 状态的快速同步与回滚
java·大数据·linux·运维·web3·区块链·智能合约
FreeBuf_2 天前
朝鲜APT组织使用Nim语言恶意软件对macOS发起隐秘Web3与加密货币攻击
macos·web3·策略模式
dingzd952 天前
结合指纹防护技术,释放Web3去中心化的潜力
web3·去中心化·区块链·facebook·tiktok·instagram·clonbrowser
OEC小胖胖2 天前
去中心化身份:2025年Web3身份验证系统开发实践
前端·web3·去中心化·区块链
CertiK2 天前
IBW 2025: CertiK首席商务官出席,探讨AI与Web3融合带来的安全挑战
人工智能·安全·web3
长安链开源社区12 天前
长安链浏览器「数据看板」 高效洞察数据状态与趋势
web3·区块链·共识算法
小碗细面12 天前
Web3学习记录之- Solidity安装使用Remix IDE
web3
穗余13 天前
WEB3开启 Hardhat 自动验证有什么意义
web3