HackingLab的一套渗透测试题
Hackinglab
Hackinglab是一个在线网络信息安全攻防平台,里面有很多题,我随便做里面一套题,算是这两天学渗透的一个总结,题目地址
选用360浏览器是因为方便切换代理设置
1.key在哪里?
过关地址
第一题比较水,直接查看网页源代码就能找到key了
jflsjklejflkdsjfklds
2.再加密一次你就得到key啦~
给了加密之后的数据是xrlvf23xfqwsxsqf,题目是“再加密一次就得到key了”,可以这么理解,key -(加密)> xrlvf23xfqwsxsqf -(加密)> key,循环加密最后又变回自己,这种加密方式叫ROT13,去网上找一个ROT13在线加密一次就得到key了
23ksdjfkfds
3.猜猜这是经过了多少次加密
加密后的字符串为:…PT0=(太长了,就不放出来了,前面都用省略号代替)
熟悉常用的加密方式就应该知道,=号结尾一般都是base64加密,所以拿去解密就行了,不过要多解几次,因为这个是好几次加密产生的
jkljdkl232jkljkdl2389
4.据说MD5加密很安全,真的是么?
直接把给的字符串拿去md5解密就行,顺便科普一下MD5解密的过程,网上虽然有很多MD5解密的网站,但是MD5其实并不是靠运算解密的,而是靠“撞”出来的,他们网站里本身就存有很多MD5以及对应的加密前的字符串,你提交MD5解密的时候只不过是通过搜索,找他们数据库中已经存好的结果
bighp
5.种族歧视
小明同学今天访问了一个网站,竟然不允许中国人访问!太坑了,于是小明同学决心一定要进去一探究竟!通关地址
点进去提示“only for Foreigner”,查看源代码也没什么东西,这个时候抓个包看一下
其实它根本不可能知道你到底是不是中国人,一定是请求头传输的过程中有什么信息,虽然我英语很差,但我看到language我就懂了,把后面zh-CN,zh删了然后放包就能看到key了
*(TU687jksf6&*
6.HAHA浏览器
据说信息安全小组最近出了一款新的浏览器,叫HAHA浏览器,有些题目必须通过HAHA浏览器才能答对。小明同学坚决不要装HAHA浏览器,怕有后门,但是如何才能过这个需要安装HAHA浏览器才能过的题目呢?通关地址
很明显的提示了,就是跟浏览器信息有关,先抓个包,将HAHA添加到浏览器信息后面然后放包就行了
meiyouHAHAliulanqi
7.key究竟在哪里呢?
上一次小明同学轻松找到了key,感觉这么简单的题目多无聊,于是有了找key的加强版,那么key这次会藏在哪里呢?通关地址
抓个包,就看到了
kjh%#$#%FDjjj
8.key又找不到了
小明这次可真找不到key去哪里了,你能帮他找到key吗?通关地址
点开是个超链接,点击超链接发现并没有key,试着在点超链接的时候抓包,发现一个url
直接把这个url粘贴到网址后面,就进入了争取的网页,里面找到了key
ohHTTP302dd
9.冒充登陆用户
小明来到一个网站,还是想要key,但是却怎么逗登陆不了,你能帮他登陆吗?通关地址
打开以后提示我还没有登陆,不管,先抓个包,验证是否登陆一般都在Cookie附近,感觉这个0有点可疑,把0改成1然后放包,就能看到key了
yescookieedit7823789KJ
10.比较数字大小
只要比服务器上的数字大就可以了!通关地址
点开以后发现最大只能输三位数,肯定有问题
查看源码发现长度被限制为3
解决办法有很多,直接抓包修改修改为一个很大的值然后放掉即可
768HKyu678567&*&K
11.本地的诱惑
小明扫描了他心爱的小红的电脑,发现开放了一个80端口,但是当小明去访问的时候却发现只允许从本地访问,可他心爱的小红不敢让这个诡异的小明触碰她的电脑,可小明真的想知道小红电脑的80端口到底隐藏着什么秘密(key)?通关地址
要本地访问,先抓包,修改访问者ip为127.0.0.1即可,具体办法是加一句x-forwarded-for:127.0.0.1,X-Forwarded-For是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段
但是这道题可能有点问题,key在源码里面就写了,并且改了ip也访问不了
^&*(UIHKJjkadshf
12.就不让你访问
小明设计了一个网站,因为总是遭受黑客攻击后台,所以这次他把后台放到了一个无论是什么人都找不到的地方…可最后还是被黑客找到了,并被放置了一个黑页,写到:find you ,no more than 3 secs! 通关地址
找后台!这个简单,用御剑或者明小子扫一下就行了
结果好像并没有这么简单,打开的页面没有key
但是下面这个Disallow后面的一串有点可疑,直接复制到链接后面看看
居然还不是key,网页源代码里面也没有什么东西,抓了包看了下也什么都没有,想了想还是再用御剑扫一次后台看看
终于找到key了
总结
总的来说还是抓包改包的题目居多,越到后面越复杂
HackingLab的一套渗透测试题相关推荐
- DeepMind给人工智能搞了一套IQ测试题
问耕 发自 凹非寺 量子位 出品 | 公众号 QbitAI 阿基米德在泡澡的时候,发现了浮力原理,也发现了如何计算王冠的体积. 这就是一种抽象推理能力. 对于智能体来说,这个能力是不可或缺的一环.对人 ...
- AI有智商吗?DeepMind为此专门开发了一套IQ测试题...
本文由人工智能观察编译 译者:Sandy 机器能抽象地学习推理吗?这是谷歌子公司DeepMind的一篇新论文的主题,该论文题目是<测试神经网络的抽象推理能力>.据了解,这篇论文发表在本周于 ...
- 车联网安全之给你的豪车来一套渗透测试
大家应该都知道针对汽车无钥匙进入系统的中继式攻击吧?很多第三方汽车警报器厂商都会以这个内容来给自己打广告.而我们的各项研究表明,在装配了这些警报器之后,你的汽车将会变得更加不安全!因为这些警报器系统可 ...
- 拿来吧你!CISP-PTE渗透基础测试题自测
注册信息安全专业人员-渗透测试,简称 CISP-PTE.证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案.编写项目测试计划.编写测试用例.测试报告的基本知识和能力. 你的渗透测试 ...
- 我们出了套西游记考题,可以保证吴承恩不及格
还记得被语文阅读题支配的恐惧吗?最近,一则"阅读题难倒原作者"的新闻火了.语文考试中的一道20分的现代文阅读,原作者来做,居然只得了6分. 这个悲伤的故事说明,读者所能解读的内容, ...
- 渗透测试php靶场,渗透测试靶场初体验
声明本文仅供学习和研究,由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任. 安全狗海青实验室拥有此文章的修改和解释权,如欲转载 ...
- 10大黑客专用的 Linux 操作系统,每个都很酷!
点击上方蓝色"方志朋",选择"设为星标" 回复"666"获取独家整理的学习资料! 来源:民工哥技术之路 今天列出一些最常用.最受欢迎的Lin ...
- 【安全技术】红队之windows信息收集思路
前言 很久没做内网了,温习一下.希望正在学习安全的小伙伴不要踏入我初学内网的误区. 先来谈谈我对内网的理解吧,不是技术的方向. 内网学的东西很多,很杂.当时我问了我的大哥,他给我的一句话确实影响我至今 ...
- 科学家公布“寿命计算器”,快算一下你能活多久?
为什么有的人能活到100岁? 为什么有的人却早早离世? 到底是什么影响着我们的寿命? 美国坦普尔大学神经学系伍得拉夫教授对长寿者进行了数十年的跟踪考察,推出下面这套"长寿测试题"( ...
最新文章
- 【快速上手mac必备】常用优质mac软件推荐(音视频、办公、软件开发、辅助工具、系统管理、云存储)
- vue 加载时掉用mounted_Vue实例中生命周期created和mounted的区别详解
- Machine Learning-Introduction
- linux系统下一个冷门的RAID卡ioc0及其监控mpt-status
- python界面开发pyqt_Python2.7+PyQt4进行界面开发
- Hadoop生态系统的详细介绍
- Python中利用plt显示中文标题解决方案
- 再见,Spark!Flink已成气候!
- 成人高考 计算机英语作文,2017年成人高考英语作文范文
- Delphi unit单元文件结构
- ai皮肤检测分数_德国猫咪皮肤检测仪,为什么这么火?| 云美来
- 框架选择的原因及其说明
- Java开发,表单提交中发生中文乱码的问题。
- java.io.InvalidClassException
- 漫游流量 android,人在国外 怎么设置小米手机国际漫游指定app使用流量?
- 微软也招 Java!
- CN域名海外注册商体系(7)2010年4月2日资料
- 巴菲特致股东的一封信:1998年
- 微信小程序--图片懒加载
- 【中文技术文档的写作规范_P03】如何书写标点符号和控制文档体系