XCTF-web(一)

pencek2025-04-18 20:30

view_source

markup 复制代码 
F12

ctrl+u

ctrl+shift+i

URL前添加:view-source:

curl http://192.168.1.1

robots

根据题目提示,查看一下robots.txt

/flag_ls_h3re.php

backup

/index.php.bak

markup 复制代码 
┌──(kali㉿kali)-[~]
└─$ cat index.php.bak                
<html>
<head>
    <meta charset="UTF-8">
    <title>备份文件</title>
    <link href="http://libs.baidu.com/bootstrap/3.0.3/css/bootstrap.min.css" rel="stylesheet" />
    <style>
        body{
            margin-left:auto;
            margin-right:auto;
            margin-TOP:200PX;
            width:20em;
        }
    </style>
</head>
<body>
<h3>你知道index.php的备份文件名吗?</h3>
<?php
$flag="Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}"
?>
</body>
</html>

查看一下cookie

看一下/cookie.php

找到了flag

disabled_button

将源代码中的disabled删除

点击flag按钮

get_post

用max hackbar在url后面加上?a=1

选择post,添加b=2

得到flag

weak_auth

尝试万能密码:' admin or 1=1 -- #

尝试进行爆破

用爆破出来的密码进行登录

simple_php

后面添加?a=0 && b=1235abc

Training-WWW-Robots

查看/robots.txt

/fl0g.php

command_execution

127.0.0.1;id,可以执行

查找flag:127.0.0.1;cat .../.../.../home/flag.txt

相关推荐
Suckerbin43 分钟前
vulnyx-Debug靶场渗透
安全·web安全·网络安全
藤原千花的败北2 小时前
PHP对象注入(PHP反序列化漏洞)
网络安全·php
Suckerbin2 小时前
vulnyx-Memory靶场渗透
web安全·网络安全
酿情师3 小时前
记第一次打春秋云境-Initial 靶场(没打完,记录一下,不是WP!!!)
服务器·网络安全
菩提小狗14 小时前
每日安全情报报告 · 2026-04-20
网络安全·漏洞·cve·安全情报·每日安全
云安全助手15 小时前
2026年AI安全大模型实战指南:快快云安全AI能力全景解析
人工智能·网络安全·claude
zmj32032419 小时前
欧盟 R155 核心范围
网络安全·信息安全
CS创新实验室21 小时前
CS实验室行业报告:安全类岗位就业分析报告
网络安全·信息安全
网络安全许木1 天前
自学渗透测试第20天(防火墙基础与规则配置)
运维·服务器·网络·网络安全·渗透测试
Chengbei111 天前
业务视角下的金融SRC快速挖掘思路
网络·安全·web安全·网络安全·金融·系统安全·网络攻击模型
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026年4月AI大事件深度解读:大模型竞争进入“深水区“042026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free05近期有什么ai的新消息,新动态? 2026.4月06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决08从限购到畅通:GLM-5.1 Coding Plan接入攻略09UBUNTU Claude Code 报错 claude native binary not installed10免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手