题目说明的很清楚要黑这个网站,所以就要找这个网站的后门
我的第一反应是在网址http://123.206.87.240:8002/webshell/后+index.php或index.html看看能不能响应成功,很成功:

这个网站下有目录文件。
但是不知道具体有哪些。
所以还是直接上扫描工具:御剑

直接访问:http://123.206.87.240:8002/webshell/shell.php


输一个admin试一试,不对。。
这里就要爆破了。。
用kali中强大的工具:BurpSuite
BurpSuite:基本教程
kali自带的是社区版(完全免费)。
我使用的是BurpSuite专业版,专业版破解安装教程请参考:
http://www.secwk.com/2019/09/23/7432/
注意里面这个地方:

上面截图中内容是有错误的,参考下方代码,修改成自己用的java jdk版本

update-alternatives --install /usr/bin/java java /opt/jdk1.8.0_201/bin/java 1update-alternatives --install /usr/bin/javac javac /opt/jdk1.8.0_201/bin/javac 1update-alternatives --set java /opt/jdk1.8.0_201/bin/javaupdate-alternatives --set javac /opt/jdk1.8.0_201/bin/javac

打开BurpSuite,首先要对目标网站抓包:

1.根据borpsuite中proxy listeners配置firefox代理


2.开启抓包

在登入后台页,随便输入一个密码,比如输入:123
可以通过Http history中来找到目标数据包,依据就是自己刚才输入的密码


转到intruder页面:

设置爆破参数

设置

(自带的密码数据是依据选的payload type)

最后:

查看爆破结果:
查找爆破结果依据是length长度
— BurpSuite:基本教程

点击length,试一试升序(或降序)排列。
发现升序更快的找到了结果。


输入爆破得到的密码:

write up web:网站被黑相关推荐

  1. Bugku CTF Web 网站被黑

    网站被黑 启动靶机 f12查源码,没什么发现,上我的御剑大宝贝扫一下目录 发现就扫出来几个目录,就是个目录遍历,看了一下也没什么新发现 思考了一下,网站被黑的话,黑客一般会留后门,此网站是php站,所 ...

  2. BugKuCTF WEB 网站被黑

    http://123.206.87.240:8002/webshell/ 题解: 原理: webshell webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境, ...

  3. 如何防止网站被黑客入侵,避免网站被黑的防御方法

    如果客户的企业网站被攻击了怎么办,因为做网站建设的朋友或者在维护网站的朋友都应该知道,有很多企业网站会经常被植入木马或是被黑客攻击,造成我们的网站打不开,或是打开后进入的不是我们公司自己的网站,而是链 ...

  4. 服务器租用过程中网站被黑,怎么解决这种情况?

    服务器租用过程中网站被黑,怎么解决这种情况?这种情况每天都发生在许多网站上.70% 的网站存在严重的安全漏洞.您可能总是有黑客访问您的网站,所以需要寻找漏洞来破解它.如果您觉得您的"网站被黑 ...

  5. 老站长传授网站防黑经验

    <!-- /* Font Definitions */ @font-face {font-family:宋体; panose-1:2 1 6 0 3 1 1 1 1 1; mso-font-al ...

  6. BugkuCTF web11_网站被黑 writeup

    web11_网站被黑 原题链接 key:御剑后台扫描+burpsuite密码爆破 知识补充: webshell就是以asp.php.jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做 ...

  7. 企业级 Web 网站安全解决方案揭秘

    在 3 月 10 日举办的阿里云网站热点研讨会上,阿里云资深安全业务架构师蕴藉就网站 Web 应用的安全性及业务可用性进行了一系列细致的讲解和介绍,接下来我们就来共同了解一下他分享的内容. 以下内容根 ...

  8. web网站和图片实现灰白效果

    web网站和图片如何黑白化 愿凛冬消散,再无国殇.--2020.04.04 本文目录 web网站和图片如何黑白化 网站元素处理,CSS:filter 1. filter 2.filter: grays ...

  9. 【愚公系列】2023年06月 Bugku-Web(网站被黑)

    文章目录 前言 1.Burp Suite 2.dirsearch 一.网站被黑 1.题目 2.答题 前言 1.Burp Suite Burp Suite是一款Java编写的用于web应用程序渗透测试的 ...

最新文章

  1. 什么是分布式系统,如何学习分布式系统(转)
  2. 树莓派学习笔记 1 -- 硬件的需求以及raspbian系统的安装
  3. oracle中字典指的是什么,ORACLE数据库中什么是数据字典及作用
  4. Love = Accounting
  5. socket python 收 发 队列 线程_对于Python中socket.listen()与多线程结合的困惑?
  6. DOM 事件深入浅出(二)
  7. Codeforces Round #628 (Div. 2) E. Ehab‘s REAL Number Theory Problem 巧妙的质因子建图
  8. java中_null和“”的区别详解
  9. python tclerror_TclError:错误的窗口路径名(Python)
  10. CListCtrl 使用演示的例子
  11. linux系统ip6tables怎么配置,ip6tables 基本配置
  12. router中获取vuex_JS每日一题: 什么情况下适合使合vuex?Vuex使用中有几个步骤?...
  13. 2021年皓丽新品- 86KD1 86寸纳米智慧黑板(电容屏)-产品说明
  14. 同义词词林或哈工大词林扩展的词类.
  15. 行业json数据以及elementui级联格式
  16. win7系统中安装破解版Charles教程 基本使用方法汇总
  17. Docker 配置阿里云加速
  18. PS网页设计教程XI——在PS中创建柔和的绿色环保的网页布局
  19. ACE网络编程开发网
  20. 4.1:如何在Python中打开文件

热门文章

  1. java压缩流的用法_Java对压缩包的操作(解压缩)
  2. flink 写入到es_《从0到1学习Flink》—— Flink 写入数据到 Kafka
  3. ​数据分析最重要的 3 种特征编码,你真的能分清楚?
  4. 又一个可视化神器Highcharts,Python版也有哦!
  5. 想学数据分析但不会Python,过来看看SQL吧(下)~
  6. 计算机科学导论第二章,计算机科学导论第二章.doc
  7. python wxpython backend wxagg_如何刷新wx.面板正确地?
  8. cefsharp已停止工作_windows资源管理器已停止工作怎么解决
  9. php实现报表的分组统计sql,实现报表的分组统计,其操作区域是。
  10. 树形结构:寻找共同祖先