张小明
前端开发工程师
题目提示后门,点进网站提示网站存在漏洞,其他没什么内容
使用view-source:http://117.72.52.127:16075/,强制查看源代码也没有发现什么
Dirsearch一下网站目录,发现一个shell.php文件,根据题目的后门提示,flag的线索应该是在这里面。
python dirsearch.py -u http://117.72.52.127:16075/访问shell.php网页,发现是一个输入密码的网页
随便输了一个密码,显示一个提示,木马?
查看源代码也没有什么东西,使用弱口令也不行,尝试sql注入也不是
这个和本地管理员那个题有点像,那个提示是IP禁用,必须使用本地管理员IP。
尝试使用BP抓包,change request method 修改POST模式,添加XXF头
X-Forwarded-For: 127.0.0.1使用BP进行密码爆破
可以使用BP自带的密码库,也可以下载密码库进行爆破
根据响应长度查看爆破结果,和其他响应长度不一样的就是爆破成功,得到密码是hack
查看响应,最终得到flag
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 创建一个面向C初学者的教程项目,详细说明如何在VS Code中安装和配置C开发环境(包括编译器、调试器和必要插件)。教程应包含一个简单的“Hello W…
李华
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 请生成一个Redis哨兵模式自动化部署脚本,要求:1. 支持一键部署主从节点和哨兵节点 2. 自动生成配置文件 3. 包含健康检查功能 4. 提供部署进度实时反馈 5. …
李华
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 开发一个效率对比工具,能够自动测量EZREMOVE和手动清理代码的效率差异。设计测试用例包含不同规模的项目(小型、中型、大型),自动记…
李华
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 使用WC.JS1.8.8网页版创建一个动态表单页面,包含姓名、邮箱和提交按钮。表单提交后,数据通过AJAX发送到后端并显示成功提示。利用AI自动生成响应式布局和表…
李华
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 请生成两个对比示例:1) 手动部署一个包含Nginx、PHP-FPM和MySQL的LAMP环境的详细步骤文档;2) 同样的环境使用Docker Compose的配置文件。要求:突…
李华
快速体验 打开 InsCode(快马)平台 https://www.inscode.net输入框内输入如下内容: 开发一个基于MCP SERVER的物联网设备管理原型系统。功能需求:1) 模拟10种IoT设备连接;2) 实时数据采集看板;3) 设备远程控制接口;4)…
李华