使用burpsuite进行目录扫描,发现网站备份文件 index.php 1 <?php 2 require_once('class.php'); 3 if($_SESSION['username']) { 4 header('Location: profile.php'); 5 exit; 6 } ...
burpsuite 添加XFF参数改成本地地址,修改用户名为admin ...
分类:
Web程序 时间:
2020-07-05 19:21:13
阅读次数:
107
vue应用,大部分会使用webpack进行打包,如果没有正确配置,就会导致vue源码泄露。 webpack是一个JavaScript应用程序的静态资源打包器(module bundler)。它会递归构建一个依赖关系图(dependency graph),其中包含应用程序需要的每个模块,然后将所有这些 ...
分类:
其他好文 时间:
2020-07-03 17:38:42
阅读次数:
67
1.启动运行burpsuite 2.配置代理 以火狐firefox浏览器为例:首选项>常规>网络设置>设置 注意代理地址和端口需要和burpsuite的相匹配,如果8080端口因运行tomcat等其他程序而被占用,则需要切换为其它未被占用的端口。点击OK 3.使用浏览器访问 http://burp ...
分类:
Web程序 时间:
2020-07-02 18:01:36
阅读次数:
66
?# T-Sta高校挑战赛 解题过程 签到 操作内容: 1.访问靶场,发现是上传点 2.审查元素发现是前端过滤 3.上传一个图片马,密码cmd,Burpsuite 抓包绕过前端过滤,之后修改后缀为php即上传成功 4.返回上传页面,获取图片的链接 5.用蚁剑连接成功 6.翻找目录发现 key 命令执 ...
分类:
其他好文 时间:
2020-07-01 17:30:15
阅读次数:
130
今天借着这道web题顺便学会了利用burpsuite进行爆破 先摆题目 打开题目环境,发现是一个工程管理系统,根据题目找到报表中心,点进去 好像没什么收获,F12看一下,发现id =1,试了一下id=2,3,4……都没用,好尴尬。。既然人工不行,那就只能用工具爆破了。。。 百度了一下怎么爆破,发现可 ...
分类:
Web程序 时间:
2020-06-29 18:43:45
阅读次数:
134
一,验证码绕过(on client) 首先让burpsuite处于抓包状态,打开pikachu的验证码绕过(on client)随意输入账号和密码,验证码先不输入,点击login,会提示验证码错误 然后来到burpsuite,找到刚刚那个登入请求,点击右键发送到repeater 然后修改验证码或者直 ...
分类:
Web程序 时间:
2020-06-21 00:20:36
阅读次数:
168
在kali中如果第一次启动burpsuite时,burpsuite闪退,很有可能是jdk版本的问题,将openjdk换成oracle 的jdk就可以了,具体命令行操作如下: update-alternatives --config java 此时输入oracle的jdk的编号即可。我的oracle的 ...
分类:
其他好文 时间:
2020-06-20 11:13:17
阅读次数:
177
CTF-管理员系统—对Burpsuite的本地访问抓包理解 点进去发现是个管理员登录界面 随便输入点提交 习惯性F12看下代码 想了下这个没有出现flag字眼,应该是密码之类的 输入了一下没有用,上网搜了下需要解码,得到test123 输入用户admin,密码test123还是没用 没想到要用Bur... ...
分类:
其他好文 时间:
2020-06-13 00:39:46
阅读次数:
156
第一次用上burpsuite来爆破关于 BugkuCTF-网站被黑60这道题 点击去后发现这么好看的页面也叫网站被黑就很郁闷 怎么办呢,上网百度查了一下,需要用到御剑来查看后台隐藏的相关php网页 我找到了 输入网址后进入了一个pass页面 随便输入后发现了"不是自己的马不要乱骑",确实有点污了 怎 ...
分类:
Web程序 时间:
2020-06-10 22:59:10
阅读次数:
179
