CTF实战31 综合实战和讲解一(讲解部分)

  • A+
所属分类:CTF 网络安全

CTF实战31 综合实战和讲解一(讲解部分)


还是来拜一下祖师爷吧~


重要声明

该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关

 

今天我们来说一下上次三个靶机的解题过程和思路


第一个133呢其实是一个比较变态的XSS,因为小茗后台访问的时候,比较粗心的就直接点击访问了我们的写入的URL(也许好奇心比较重)


但是呢网站后台又做了一些保护措施,这就导致了我们的Beef没法接到小茗的数据


所以呢这里我们就用了一些小技巧来获得访问的信息


然后134是一个源码泄露的题,我们读懂PHP代码之后就可以获得flag了


最后的135上线之后被表情包同学发现有个默认密码的漏洞(emmm)


然后我默默的打开了服务器的防火墙ε=ε=ε=(~ ̄▽ ̄)~


这个题其实有一个struts2的漏洞,漏洞导致了我们可以在服务器上用tomcat用户的身份来执行一些系统命令和上传木马


只要你想到了这点这题就算解了


啊哈哈哈


CTF实战31 综合实战和讲解一(讲解部分)

 

CTF实战31 综合实战和讲解一(讲解部分)


本文完


下期内容:综合实战和讲解二


CTF实战31 综合实战和讲解一(讲解部分)

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: