XCTF-web(一)

pencek2025-04-18 20:30

view_source

markup 复制代码 
F12

ctrl+u

ctrl+shift+i

URL前添加:view-source:

curl http://192.168.1.1

robots

根据题目提示,查看一下robots.txt

/flag_ls_h3re.php

backup

/index.php.bak

markup 复制代码 
┌──(kali㉿kali)-[~]
└─$ cat index.php.bak                
<html>
<head>
    <meta charset="UTF-8">
    <title>备份文件</title>
    <link href="http://libs.baidu.com/bootstrap/3.0.3/css/bootstrap.min.css" rel="stylesheet" />
    <style>
        body{
            margin-left:auto;
            margin-right:auto;
            margin-TOP:200PX;
            width:20em;
        }
    </style>
</head>
<body>
<h3>你知道index.php的备份文件名吗?</h3>
<?php
$flag="Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}"
?>
</body>
</html>

查看一下cookie

看一下/cookie.php

找到了flag

disabled_button

将源代码中的disabled删除

点击flag按钮

get_post

用max hackbar在url后面加上?a=1

选择post,添加b=2

得到flag

weak_auth

尝试万能密码:' admin or 1=1 -- #

尝试进行爆破

用爆破出来的密码进行登录

simple_php

后面添加?a=0 && b=1235abc

Training-WWW-Robots

查看/robots.txt

/fl0g.php

command_execution

127.0.0.1;id,可以执行

查找flag:127.0.0.1;cat .../.../.../home/flag.txt

相关推荐
一名优秀的码农7 天前
vulhub系列-14-Os-hackNos-1(超详细)
安全·web安全·网络安全·网络攻击模型·安全威胁分析
努力的lpp7 天前
SQLMap CTF 常用命令全集
数据库·web安全·网络安全·sql注入
努力的lpp7 天前
SQL 报错注入
数据库·sql·web安全·网络安全·sql注入
岛屿旅人7 天前
2025年中东地区网络安全态势综述
网络·安全·web安全·网络安全
努力的lpp7 天前
【ctf常用备用文件名字典】
web安全·网络安全·ctf
Mikowoo0077 天前
渗透测试_漏洞利用
网络安全
啥都想学点7 天前
pikachu靶场——Cross-Site Scripting-1(Kali系统)
网络安全
F1FJJ7 天前
基于网络隐身的内网穿透
网络协议·网络安全·go
苏天夏7 天前
Passport 插件:Typecho 密码安全的技术守护者
安全·网络安全·php
Lust Dusk7 天前
CTFHUB靶场 HTTP协议——302跳转
web安全·网络安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04OpenClaw优化飞书API 额度已耗尽问题05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06Window 10部署openclaw报错node.exe : npm error code 12807本地部署 OpenClaw + DeepSeek-R1 完全指南08Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤09小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10网站改了域名,如何查找?