摘要:直接用抓包然后发送到测试器设置有效载荷开始攻击,等待结束之后,发现的请求返回的报文长度跟其他的不一样得到
题目提示:
打开题目地址:
是一个工控云管理系统,
左边的栏目中只有“报表中心”的按钮是有一个链接可以点的,其他的都是摆设,这个可以查看源代码发现:
点击“报表中心”的按钮查看:
是一个查询指定日期的页面,
照样查看源代码:
没有别的链接页面了,那flag应该就在这个页面的功能
选择日期,点击确认按钮之后也没有反应:
突然发现浏览器地址栏http://111.200.241.244:51918/index.php?id=1,开始猜测是SQL注入结果不是,后来才知道是id暴力破解。
直接用BP抓包:
然后发送到测试器Intruder:
设置有效载荷:
开始攻击,等待结束之后,发现id=2333的请求返回的报文长度跟其他的不一样:
得到flag:cyberpeace{8cfab196a2e20581bc6d88fd5c93881b}
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/123419.html
摘要:源代码要求传入变量的值,不能直接等于要求经过解码后等于再输出。 先查看题目地址: 希望我们获得这个网站的权限,查看源代码也没有其他信息: 查看index页面: ...
摘要:程序的主要逻辑是这个判断中的三个条件,成立就会包含输入的文件代码,否则就输出那张滑稽图片。如果最后仍未找到文件则结构会发出一条。例如一个文件以开头,则解析器会在当前目录的父目录下寻找该文件。 ...
摘要:变量预定义的变量用于收集来自的表单中的值。从带有方法的表单发送的信息对任何人都是可见的会显示在浏览器的地址栏并且对发送信息的量也有限制。函数搜索字符串在另一字符串中是否存在如果是返回该字符串及剩余部分否则返回。 ...
摘要:进攻即是最好的防御个练习黑客技术的在线网站进攻即是最好的防御,这句话同样适用于信息安全的世界。社区有接近万的注册会员也是最大的一个黑客社区之一。 进攻即是最好的防御!19个练习黑客技术的在线网站 进攻即是最好的防御,这句话同样适用于信息安全的世界。这里罗列了19个合法的来练习黑客技术的网站,不管你是一名开发人员、安全工程师、代码审计师、渗透测试人员,通过不断的练习才能让你成为一个优秀安...
摘要:年月日,在国庆节到来之前的周日,我们开展了战队的第二次会议,在第一次到第二次会议开展之间,又有几个小伙伴加入了我们。第二次会议,仍然是在网络中心的会议室内召开,不过与会的人员除了第一次的几位小伙伴,还有一些新加入的成员。 2021年9月26日,在国庆节到来之前的周日,我们开展...
阅读 2240·2021-11-16 11:39
阅读 3989·2021-09-26 10:17
阅读 649·2021-09-22 15:02
阅读 3228·2021-09-06 15:00
阅读 881·2021-07-25 16:52
阅读 2608·2019-08-29 16:16
阅读 2351·2019-08-29 13:25
阅读 1016·2019-08-27 14:26