Bugku-CTF之网站被黑(这个题没技术含量但是实战中经常遇到)
Day11
网站被黑
本题要点:burpsuit爆破用法、网站后台扫描工具御剑用法、字典
打开链接是一个黑页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧
扫描出shell.php,打开链接是一个webshell
http://123.206.87.240:8002/webshell/shell.php
尝试常用弱口令,发现无效
那我们现在就要用最常用爆破后台的手段 burpsuit截包,用字典去跑密码
开启代理,发送至intruder
选择自带的 password字典
我们可以通过查看长度,与其他大多数长度有差别的,就是密码
因此我们可以确定密码为hack
现在我们将密码填入webshell页面
弹出flag
完成!
--------------------- ┑( ̄Д  ̄)┍ --------------------------
作者:0yst3r[一只在安全领域努力奋斗的小菜鸡]
来源:博客园[ https://www.cnblogs.com/0yst3r-2046/ ] 引用时请注明来源哦~
(๑•̀ㅂ•́)و✧ヽ(✿゚▽゚)ノ(*^▽^*) φ(≧ω≦*)♪
如果本文对你有用,本人不胜欢喜。
The world is your oyster.
