BugkuCTF:网站被黑;管理员系统;web4

最新推荐文章于 2026-04-14 10:54:05 发布
原创 最新推荐文章于 2026-04-14 10:54:05 发布 · 1.5k 阅读 · 2
本文介绍了在BugkuCTF挑战中遇到的网站被黑及管理员系统的情况。通过使用Burp Suite进行爆破,找到了密码并获取了flag。在管理员系统部分,利用XFF(真实客户端地址)头伪造本地登录,成功获得flag。同时,文章还讨论了Web4题目的解决方法以及涉及的JavaScript和HTTP头知识。

网站被黑

后台扫描工具(第一次用),御剑扫描:

                

除了我们看到的index.php,还有shell.php:

访问一波,要密码,flag应该隐藏在这个密码后边:

                                                  

用Burp suite爆破:

浏览器选择burpsuite代理,打开监视,访问网站,输入密码,之后在空白处右击选择send to Intruder(爆破):

转到Intruder,选择attack type 选择 sniper:

选择爆破的字典或者说是密码集合,我选择的很多,跑的很慢:

 

选择自己想要的线程数,线程越多跑的越快:

start attack,...finish之后

点击Length 进行排序(因为正确的密码会导致较多的回复,或者较少的回复,因此可以区分),找到密码为hack:

   

输入密码,找到flag:

                                                      

最低0.47元/天 解锁文章
CTF之Bugku网站
热门推荐
weixin_41607190的博客
09-25 1万+
点开是这么一个页面 晃来晃去还挺好玩的 标题是网站,用御剑扫描一下他的后台,看能不能扫到webshell,也就是一个后门。(不了解webshell的童鞋去搜下) 扫一下就出来了 点进去是一个输入密码的界面,那么接下来就去爆破密码,用的工具是BurpSuite pro,后面会给大家放上来。 首先要抓包,就是用Burp Suite去截取网页的请求。 ...
CTF实战解析——从bugkuCTF网站看后门漏洞的发现与利用
最新发布
weixin_28741413的博客
04-14 379
本文通过bugkuCTF网站的实战案例,详细解析了后门漏洞的发现与利用过程。文章介绍了使用御剑扫描工具发现隐藏后门、利用Burpsuite进行密码破解的实战技巧,并提供了防范后门攻击的最佳实践,帮助读者提升CTF解题能力和Web安全意识。
bugku 网站(御剑突破+bp抓包爆破)
ANYOUZHEN的博客
10-26 2199
今天我们写一道bugku上的网站,首先我们启动场景,发现网站被挂了页,这种时候,我们开启御剑进行后台扫描,如下图所示 我们从中看到了shell.php,我们点进去,发现了一个后门 我们尝试输入密码1111,当然不成功了,我们开代理,进行抓包,装入字典,进行爆破 这里和大家说一下啊,这个抓包的爆破并不是和zip爆破那个一样会直接跳出来密码,我们要去观察分析它的状态和长度,本题中我们看到hack的长度明显和其他的密码不同,说明这个就是答案,我们输入hack,得到flag
Bugku WEB 网站(超详细题解 WP)
2301_81212117的博客
04-06 3015
1、dirsearch扫描;2、burp抓包;3、修改请求头;4、添加payload,密码爆破;5、登录得到flag
Bugku——网站
weixin_71914594的博客
10-18 953
依然是F12看看能不能找到什么有用的信息。那就继续扫目录看看能不能找到突破点。既然只用爆破一个参数 那就不用修改。爆破完了 筛选一下不一样的返回值。右键发送到Intruder模块。还得是dirsearch神器。找出来shell.php。Bugku——网站。那就上bp抓包爆破看看。
bugku:POST、头等舱、网站、alert、你必须让他停下、本地管理员、bp
lulu001128的博客
03-01 2341
解题过程
BugKuCTF WEB
让我再浪一会 的博客
11-24 1104
文章目录BugKuCTF WEB一、web2二、计算器三、web基础$_GET四、web基础$_POST五、矛盾六、web3七、域名解析八、你必须让他停下九、变量1十、web5十一、头等舱十二、网站十三、管理员系统十四、web4十五、flag在index里十六、输入密码查看flag BugKuCTF WEB 平台地址 一、web2 进入网页,查看源代码,在其中找到flag 二、计算器 进入网页,根据题目可得知需要输入运算结果,但限制了输入的数字的个数,查看网页的JS代码,将 maxlength =
BugkuCTF练习题解——Web
qq_41739275的博客
08-24 7413
文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯 1.Web2 打开链接之后是滑稽笑脸,好家伙,吓我一跳,还以为是大bug,然后也没有提示啥的 感觉有点无从下手???别急,打开页面源代码(检查元素也可)瞅瞅 注释部分就是flag了。 2.
BugkuCTFWeb writeup第一部分
Senimo
08-02 2118
BugkuCTFWeb writeup第一部分web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下本地包含变量1web5头等舱网站 BugkuCTF链接 web2 计算器 web基础$_GET web基础$_POST 矛盾 web3 域名解析 你必须让他停下 本地包含 变量1 web5 头等舱 网站 ...
关于BugkuCTFweb题目的总结
weixin_44149478的博客
02-25 1436
web2 很简单的一道题,进去直接f12查看源码,发现flag。 flag KEY{Web-2-bugKssNNikls9100} 计算器 进去发现是一个计算题,算出答案后输入,发现只能输入一位,查看源码,发现有一条“maxlength=1”,将1改为2或直接删掉,输入计算题答案,得到flag。 flag{CTF-bugku-0032} web基础$_GET f12,发现源码是一个条件输出的代码,...
CTF学习第十七站——BugKu的网站与头等舱
qq_41174589的博客
10-14 410
没有任何信息,我们直接用burp抓包重发看返回,直接找到flag。题目提示网站,我们用御剑扫一下看看有没有后门。经过爆破,确认密码为hack,输入得到flag。访问shell.php。
BUGKU-WEB 网站
默默提升实验室
02-16 1098
BUGKU-WEB 网站,需要找后门文件
Bugku之网站
金 帛的博客
03-21 5057
Bugku之WP
bugku 网站
CTF
02-01 626
直接爆出pass:hack,输入登录即刻出现flag。flag{5d72824ac552be6dd0c5b88b5c444e93}打开容器后发现是页,先查看源代码,一般都是先查看源代码。接着直接进行dirsearch扫描,发现一个shell.php文件。访问后发现是一个webshell页面。先尝试进行登录,发现不成功。直接用bp抓包爆破。
【愚公系列】2023年06月 Bugku-Web网站
愚公智库
06-26 6125
Burp Suite是一款Java编写的用于web应用程序渗透测试的集成工具,可以帮助测试人员诊断和安全评估Web应用程序的漏洞。密码爆破是指通过尝试各种可能的密码组合,尝试破解密码来获得未授权的访问权限。下面是进行密码爆破的一般步骤:在Burp Suite的proxy中拦截请求,并选择需要破解的请求。将请求发送到Intruder,选择Payloads选项卡,在Payload设置中选择“Simple list”模式。
Bugku CTF:网站[WriteUP]
如有错误感谢斧正
11-10 339
dirsearch -u URL [扫描该网页下的目录和文件]根据题目提示,知道shell.php就是后门.直接访问后。选shell常用的字典这里就直接爆破出来密码了。直接到BurpSuite选择字典进行爆破。把hack输入PASS。
bugku -- 网站--本地管理员
qq_51802152的博客
12-13 568
bugku -- 网站--本地管理员
CTF——web安全(三)
qq_45215609的博客
04-19 838
CTF——web安全(三) 1、题目一:网站
bugku web 网站
l181954187的博客
03-31 440
先进行xxf伪造,X-Forwarded-For: 127.0.0.1,然后就可以直接爆破密码了。F12看源码啥也没有,用dirsearch扫一下目录看看。还提示了,估计应该限制ip了,抓包看看。使用自带全量字典扫描单个url的目录。进去看看,随便试试几个密码都不对。开始攻击,成功获得密码。输入密码得到flag。
bugku 网站/管理员系统/WEB4/输入密码查看flag 题目详解
夜车星繁的博客
05-22 2359
网站 来到了bugku;打开“网站”这道题; 页面如图; 接触此类题目,一般从后台扫描方面考虑; 御剑后台扫描工具 链接: https://pan.baidu.com/s/1bebPE9aNEVnV1_o1fgAMvA 提取码: w46z 扫描http://123.206.87.240:8002/webshell/结果如下,发现后台一个网站: 打开这个网...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值