ctfshow web入门黑盒测试web380-384

1.web380

对网站进行目录扫描,没有发现敏感的目录文件

访问page.php,发现报错

访问page.php?id,发现报错中带有file_get_contents这个函数,可以直接尝试直接读取flag文件(page.php?id=flag),最后发现成功得到flag

2.web381

查看index.php源码,发现有一个alsckdfy

访问这个alsckdfy目录下的文件得到flag

3.web382

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框

尝试万能密码 admin' or 1=1#成功得到flag

尝试一些弱密码 admin 123456 admin666 admin888等,admin888也是这题的密码,也可以得到flag

4.web383

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框,尝试万能密码 admin' or 1=1#成功得到flag

5.web384

密码爆破,告诉了一二位是小写字母,345位是数字

生成一个字典的脚本

python 复制代码
#97-122
for i in range(97,123):
    for j in range(97,123):
        for k in range(0,10):
            for l in range(0,10):
                for m in range(0,10):
                    with open("1.txt","a+") as f:
                        f.write(chr(i)+chr(j)+str(k)+str(l)+str(m)+'\n')
                        

大概会生成2626 1010 10=676000个密码

爆破会比较慢最后密码是xy123

登录得到flag

相关推荐
Footprint_Analytics9 小时前
Footprint Analytics 助力 Sei 游戏生态增长
游戏·web3·区块链
Roun31 天前
去中心化存储:Web3中的数据安全新标准
web3·去中心化·区块链
dingzd952 天前
Web3对社交媒体的影响:重新定义用户互动方式
web3·去中心化·区块链·媒体
web3探路者2 天前
加密货币行业与2024年美国大选
java·大数据·web3·区块链·团队开发·开源软件
DataFountain数据科学3 天前
2024 Web3.0创新大赛在沪正式启动
大数据·人工智能·web3·创新创业·数据竞赛
Blockchina4 天前
Solana链上的Pump狙击机器人与跟单机器人的工作原理及盈利模式
web3·区块链·智能合约·solana·sol机器人
小树苗1935 天前
Zypher Network:全栈式 Web3 游戏引擎,服务器抽象叙事的领导者
服务器·游戏引擎·web3
李启柱5 天前
Web应用程序安全与风险
运维·前端·网络·安全·web3
Sui_Network5 天前
Web3 Key Talking #4|Sui有何不同?及其发展路线图
大数据·前端·人工智能·web3·区块链