ctfshow web入门黑盒测试web380-384

1.web380

对网站进行目录扫描,没有发现敏感的目录文件

访问page.php,发现报错

访问page.php?id,发现报错中带有file_get_contents这个函数,可以直接尝试直接读取flag文件(page.php?id=flag),最后发现成功得到flag

2.web381

查看index.php源码,发现有一个alsckdfy

访问这个alsckdfy目录下的文件得到flag

3.web382

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框

尝试万能密码 admin' or 1=1#成功得到flag

尝试一些弱密码 admin 123456 admin666 admin888等,admin888也是这题的密码,也可以得到flag

4.web383

查看源码,发现有一个不一样的地方

访问这个地址,发现了一个登录框,尝试万能密码 admin' or 1=1#成功得到flag

5.web384

密码爆破,告诉了一二位是小写字母,345位是数字

生成一个字典的脚本

python 复制代码
#97-122
for i in range(97,123):
    for j in range(97,123):
        for k in range(0,10):
            for l in range(0,10):
                for m in range(0,10):
                    with open("1.txt","a+") as f:
                        f.write(chr(i)+chr(j)+str(k)+str(l)+str(m)+'\n')
                        

大概会生成2626 1010 10=676000个密码

爆破会比较慢最后密码是xy123

登录得到flag

相关推荐
七七知享7 小时前
Go 语言编程全解析:Web 微服务与数据库十大专题深度精讲
数据库·web安全·网络安全·微服务·golang·web3·webkit
dingzd951 天前
Web3 的去中心化治理:如何实现透明与公正
web3·去中心化·区块链·互联网·instagram·指纹浏览器
#咸菜3 天前
RuleOS:区块链开发的“破局者”,开启Web3新纪元
web3·区块链
dingzd954 天前
Web3 中的智能合约:自动化与去信任化的力量
自动化·web3·智能合约·跨境电商·隐私保护·instagram
dingzd954 天前
Web3 对传统互联网的挑战与机遇
web3·指纹浏览器·clonbrowser·多账号运营
Roun35 天前
Web3 与跨链技术:如何实现不同区块链的互操作性
web3·区块链·互联网·facebook·账号安全
lisw055 天前
Web3中的AI:一种去中心化智能的完整指南
人工智能·web3·去中心化
清 晨6 天前
Web3 的未来:去中心化如何重塑互联网
web3·去中心化·区块链·互联网·facebook·多账号运营
Minner-Scrapy9 天前
Web3.py 入门笔记
python·web3·web3.py·eth·request
weixin_4738947710 天前
Web1、Web2 与 Web3 的核心区别
web3·web2·web1