中国红客联盟-,显示的是此网站存在漏洞,请及时修复…

已于 2022-04-12 16:05:40 修改
阅读量976 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: windows
于 2022-04-12 16:03:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghao200108/article/details/124126400
这篇博客详细记录了一次网站安全检测的过程,作者发现了一个shell.php文件,并使用burpsuite工具进行了密码爆破。经过耐心等待,成功找到了密码'hack',揭示了网站存在的安全漏洞。该文章对于理解网络安全和渗透测试具有一定的实践指导意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

显示的是此网站存在漏洞,请及时修复…
在这里插入图片描述
登录进去看看 先放在御剑里面后台扫下
在这里插入图片描述
等待扫描结束后,发现有一个shell.php的文件,双击打开试一试
在这里插入图片描述
这个时候打开的网页显示需要输入密码,先随便输入一个
在这里插入图片描述
用burp suite 进行爆破,输入密码,打开网页拦截进行抓包
选中所输入的密码,右键点击send to Intruder及爆破的页面,点击Intruder的Positions的选项来查看爆破对象
点击Payloads选项,在Payload Options的模块里先选择字典
然后点击右上角的Start attack开始进行爆破
在这里插入图片描述
在漫长的等待过程中出现了一个Length不一样的结果1195
在这里插入图片描述
密码为hack在登陆界面输入hack即得到flag

在这里插入图片描述

记录笔记
关注
CTF——web安全(三)
qq_45215609的博客
04-19 717
CTF——web安全(三) 1、目一:网站被黑
猿学~黑红客、白帽子之间的技术较量,为什么大公司都有黑团队?
热门推荐
全栈开发者
04-14 2万+
【全栈开发者2017年04月14日讯】QQ号、信用卡密码、企业核心数据库,在地下黑色产业链上,互联网上的一切信息都可能成为黑帽子黑牟利的工具。处于防御姿态的白帽子黑在与黑帽子黑的较量中,赢一次不能算赢,输一次就永远输了。 “世界上有三种人:一种是被黑过,一种是不知道自己被黑过,还有一种是不承认自己被黑过。” 一位穿着衬衣黑长裤的年轻人在发表演讲。他中等个头、精瘦,略显紧张地单手插在...
网站源码出现高危漏洞尽快修复,避免严重损失,的解决方法
只求每日上进一点点的博客
03-20 633
源码出现这种情况的解决方法: 友价商城里的后台管理界面出现这个的 我按照上面的提示,将执行选框取消勾选后,它又出现这个的: 解决方法是 在宝塔里开启防火墙和网站防护设置即可解决 ...
掘安杯原复现---网站存在漏洞
qq_43592364的博客
04-09 812
链接: link. 先看目,打开上述链接,显示的是此网站存在漏洞及时修复… 不知道修复哪里的漏洞,但是先用使用burpsuite进行抓包试试吧 发现抓了一堆html回来,好像对于解没有任何帮助 然后可以试一试使用御剑后台扫描工具对网址进行一下扫描 等待扫描结束后,发现有一个shell.php的文件,双击打开试一试 这个时候打开的网页显示需要输入密码,先随便输入一个,自然显示密码错误...
flag:中国红客联盟(实验)
m0_53843429的博客
05-05 601
1.浏览器打开网址浏览器打开网址 2.使用御剑工具扫描网址 3.打开扫描的网站 4.使用burpsuite抓包 5.进行数据爆破 6.得到密码,并得到flag
CTF之扫描后台
weixin_50464560的博客
11-15 2381
CTF扫描后台 1、首先进入目,目直接提示“你的网站存在漏洞及时修复!”这几个字,那必须要进行后台扫描了。这里我用到了dirsearch和御剑。 2、这里可以看到用dirsearch和御剑扫描出来的地址不一样,御剑还多了一个shell.php,这个是解的关键。从这里可以推断出我的dirsearch里跑的字典没有御剑里的字典全面。后来我把shell.php补充到了dirsearch里的字典后,这两个就都有了。但是不得不说,这两个工具都贼好用呀 3、接下来在URL里输入shell.php,便
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9605
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑就是热衷于使用木马程序来控制别人的电脑,比如鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/户端)远距
这些黑经常挂在嘴边的“黑话”,你知道多少?
02-28 7433
网安安全作为一个入门门槛较高的领域,大量的专业术语还是让人如读“黑话”般的想抓耳挠腮,本文盘点了超过200个常用的网络安全词汇,看看你是否都了解呢? 很多人学习python,不知道从何学起。 很多人学习python,掌握了基本语法过后,不知道在哪里寻找案例上手。 很多已经做案例的人,却不知道如何去学习更加高深的知识。 那么针对这三类人,我给大家提供一个好的学习平台,免费领取视频教程,电子书籍,以及课程的源代码!QQ群:721195303 一、攻击篇 1.攻击工具 肉鸡 所谓“肉鸡”..
CTF】使用文件包含漏洞读取网页代码
keysking瞎写东西的地方
01-25 2万+
CTF】使用文件包含漏洞读取网页代码按照我的理解文件包含漏洞是指网页后端php(或其他)代码中使用了include等文件包含语句,而且所包含的文件由变量控制,恰恰此变量又能通过GET或POST等方式进行修改所造成的。1.直接包含内有运行代码的文件比如有一index.php<?php include $_GET['file']; ?>那么就可以通过抓包修改file值的办法去运行一些本来不该运行
CTF中常见的一些PHP漏洞总结
Mikasa
02-17 4815
平常也遇到不少这样的目,记性不好很容易忘,于是好好总结一下加深记忆!!! 一. md5()漏洞,php在处理哈希字符串时会利用”!=”或” ==”来对哈希值进行比较,它把每一个以” 0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以” 0E”开头的,那么PHP将会认为他们相同,都是0。 下面举几个经md5处理后开头为0e的例子; s878926199a...
中国网络大事记
weixin_34336292的博客
01-01 356
1.中国联盟关闭 2.2004年12月31号:中国红客联盟关闭  红盟闭幕词:   今天是一个特别的日子,它值得我们庆贺,因为它是红客联盟成立四周年的日子。不过今天我写这些不是为了庆祝红盟的四周岁生日,而是告诉大家另外一个消息。      其实红客联盟一直都是名存实亡了,关站也不是一次了,只不过要放弃陪伴自己成长的东西总是有点不忍心,所以红客联盟也一直存在了这么久...
常见WEB漏洞危害及修复建议
thatqier
10-11 6191
漏洞检测工具用语说明 一,高危漏洞 高危漏洞包括SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。 SQL注入漏洞网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改或删除。 XSS跨站脚
网站程序代码存在漏洞如何挖掘和修复
网站安全专家
08-13 1079
国内学习漏洞挖掘的习惯所谓奠定基础,学习各种编程书籍,然后学习漏洞挖掘,问是不可能控制学习编程的程度。其次,外国学生通常必须学习这一过程,初学者最好不要上手就去搞漏洞挖掘,因为漏洞挖掘需要很多的系统基础知识和一些理论知识做铺垫,而且难度较大,较合理的途径应该从漏洞利用入手,不妨分析一些公开的CVE漏洞。很多漏洞都有比较好的资料,分析研究的多了,对漏洞的认识自然就不同了,然后再去搞挖掘就会易上手一点!俗话说:“磨刀不误砍柴工”,就是这么个理儿。对于有一些基础知识的初学者,应该怎样进行漏洞挖掘呢? 因为
手把手教你如何破解无线路由密码
liuhuihlf的专栏
12-28 1775
下面开始我们的WEP解密之旅: 一准备篇 1、一个有可破解无线信号的环境。如我在家随便搜索出来的信号。 2、带无线网卡的电脑一台(笔记本台式机均可,只要无线网卡兼容BT3),我用的是三星NC10的上网本。 3、2G以上优盘一个(我用的是kingston 8G 的) 4、下载BT3,约800多兆。 下载地址 http://119.147.41.16/down?cid=DE ...
Day25--回溯--491. 非递减子序列,46. 全排列,47. 全排列 II
最新发布
m0_60740070的博客
08-07 419
Day25--回溯--491. 非递减子序列,46. 全排列,47. 全排列 II,回溯问总结
vasp计算弹性常数
weixin_74324570的博客
08-06 253
3.拖入VPKIT.in,注意第一行写1,用于前处理。1. 准备优化好的POSCAR文件。
红客联盟渗透技术与漏洞修复实战指南
中所提到的“红客联盟技术资料”指的是与红客联盟相关的技术文件集合。红客联盟(HUC)是一个由计算机安全爱好者组成的组织,他们通常关注于对网络安全的研究,同时也致力于在法律允许的范围内揭露安全漏洞。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值