Day11
网站被黑
.png)
本题要点:burpsuit爆破用法、网站后台扫描工具御剑用法、字典
打开链接是一个黑页,链接后面加index.php判断是PHP,而题目提示实战中经常遇到,那就开御剑扫描后台吧
.png)
.png)
.png)
扫描出shell.php,打开链接是一个webshell
http://123.206.87.240:8002/webshell/shell.php
.png)
尝试常用弱口令,发现无效
.png)
那我们现在就要用最常用爆破后台的手段 burpsuit截包,用字典去跑密码
开启代理,发送至intruder
.png)
.png)
.png)
.png)
选择自带的 password字典
.png)
.png)
我们可以通过查看长度,与其他大多数长度有差别的,就是密码
因此我们可以确定密码为hack
现在我们将密码填入webshell页面
.png)
弹出flag
完成!