2023年中职“网络安全“—Web 深入测试①

简介: 2023年中职“网络安全“—Web 深入测试①

Web 深入测试

任务环境说明:

  • 服务器场景:未知
  • 服务器场景操作系统:未知(关闭连接)

1.访问地址http://靶机IP/task1,分析页面内容,获取flag值,Flag格式为flag{xxx};

根据题目访问网页,发现是一个空白页面,我们尝试查看网页源代码,也是什么都没有

使用dirb工具来探测一下网页目录下,是否有啥隐藏信息。

命令:dirb http://192.168.110.140/task1/ /usr/share/wordlists/dirb/big.txt  -x /usr/share/wordlists/dirb/mutations_common.txt

使用big.txt这个字典,-x是指定一下探测文件的后缀


探测出来一个task.txt的可疑目录,我们访问发现了一串数字

36363663363136373762353936353733326337393666373532303637366637343230373436383635323036363639373237333734323036363663363136373764

对这串数字进行解码,感觉像ascii编码,利用kali中的burp的Decode模块进行解码

解码两次获的flag

flag{Yes,you got the first flag}


2.访问地址http://靶机IP/task2,访问登录页面。用户user01的密码为1-1000以内的数,获取用户user01的密码,将密码作为Flag进行提交,Flag格式为flag{xxx};

访问/task2发现一串英文,没有题目中所需的登录框,我们再次尝试访问index.html这个网页找到登录框


cf94ae760eff40e19cf1471d63037c54.png


根据题目,使用burp抓包,然后爆破密码

利用burp的Intruder的模块,进行批量破解


fd93d7974920430dad6b9701596cf2ff.png

通过返回的包的长度,发现72与其他包的长度不一样


查看响应,获得flag

flag:flag{Yeah!U have the password!}

3.访问地址http://靶机IP/task3,访问购物页面。分析页面内容,获取flag值,Flag格式为flag{xxx};

02eb375d0beb4e6a9876f23ebfdadb63.png

根据题目意思和界面内容,应该是修改物品的价格,然后获得flag

这题还是利用burp抓包,然后修改数据


我们尝试修改物品价格,发现不行

再次尝试修改物品数量

获得flag。


flag{CTF IS SO FUUNY!}


4.访问地址http://靶机IP/task4,分析页面内容,获取flag值,Flag格式为flag{xxx};

访问页面task4页面,第一个让我们选择偶数,第二个让我们输入 I am hare,第三个让我们选择ssh的端口号

dc98742c8896445d88468b37b3f05e92.png

第一个选择002、第二个输入Iah、第三个选择端口22

当点击提交的时候,发现按钮无法点击,猜测可能是前端代码控制,我们F12删除代码

将input的表单中的disabled属性删除


但这时候提交还是不了,发现上面有个传入参数为success(成功),但是值为false(假),我们要把值改为true

不然不会成功。


点击提交,获得flag

5.访问地址http://靶机IP/task5,分析页面内容,获取flag值,Flag格式为flag{xxx}。

访问/task5

payload:?password[]=

但是返回不了flag,不知道是不是payload错误了



目录
相关文章
|
1月前
|
安全 测试技术 网络安全
如何在Python Web开发中进行安全测试?
如何在Python Web开发中进行安全测试?
|
1月前
|
安全 关系型数据库 测试技术
学习Python Web开发的安全测试需要具备哪些知识?
学习Python Web开发的安全测试需要具备哪些知识?
33 4
|
11天前
|
Web App开发 IDE JavaScript
Selenium IDE:Web自动化测试的得力助手
Selenium IDE:Web自动化测试的利器。作为开源工具,Selenium IDE支持录制与回放用户操作,适用于Chrome、Firefox等多浏览器,简化了测试流程,提升了效率,降低了自动化测试的门槛。它还支持导出多种编程语言的脚本,便于测试集成与复用。
62 19
Selenium IDE:Web自动化测试的得力助手
|
13天前
|
Web App开发 IDE 测试技术
Selenium:强大的 Web 自动化测试工具
Selenium 是一款强大的 Web 自动化测试工具,包括 Selenium IDE、WebDriver 和 Grid 三大组件,支持多种编程语言和跨平台操作。它能有效提高测试效率,解决跨浏览器兼容性问题,进行性能测试和数据驱动测试,尽管存在学习曲线较陡、不稳定等缺点,但其优势明显,是自动化测试领域的首选工具。
97 17
Selenium:强大的 Web 自动化测试工具
|
12天前
|
Kubernetes 安全 Devops
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
37 10
有效抵御网络应用及API威胁,聊聊F5 BIG-IP Next Web应用防火墙
|
12天前
|
Web App开发 IDE JavaScript
Selenium IDE:Web自动化测试的得力助手
Selenium IDE是开源的Web自动化测试工具,适用于Chrome、Firefox等多款浏览器。它提供简单的录制与回放功能,用户可通过录制浏览器操作自动生成测试脚本,支持导出为多种编程语言,便于非专业测试人员快速上手,有效提升测试效率与质量。
91 6
Selenium IDE:Web自动化测试的得力助手
|
1月前
|
监控 安全 测试技术
如何在实际项目中应用Python Web开发的安全测试知识?
如何在实际项目中应用Python Web开发的安全测试知识?
29 4
|
6天前
|
SQL 安全 网络安全
网络安全与信息安全:知识分享####
【10月更文挑战第21天】 随着数字化时代的快速发展,网络安全和信息安全已成为个人和企业不可忽视的关键问题。本文将探讨网络安全漏洞、加密技术以及安全意识的重要性,并提供一些实用的建议,帮助读者提高自身的网络安全防护能力。 ####
44 17
|
17天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将介绍网络安全的重要性,分析常见的网络安全漏洞及其危害,探讨加密技术在保障网络安全中的作用,并强调提高安全意识的必要性。通过本文的学习,读者将了解网络安全的基本概念和应对策略,提升个人和组织的网络安全防护能力。
|
18天前
|
SQL 安全 网络安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
随着互联网的普及,网络安全问题日益突出。本文将从网络安全漏洞、加密技术和安全意识三个方面进行探讨,旨在提高读者对网络安全的认识和防范能力。通过分析常见的网络安全漏洞,介绍加密技术的基本原理和应用,以及强调安全意识的重要性,帮助读者更好地保护自己的网络信息安全。
40 10