评分(12)
解题动态
19917633802 攻破了该题 5小时前
17361232956 攻破了该题 5小时前
ChangQing 攻破了该题 6小时前
codegod 攻破了该题 6小时前
wujiayi 攻破了该题 7小时前
hahahahahahaha 攻破了该题 9小时前
Julia 攻破了该题 1天前
猪猪侠开火箭 攻破了该题 1天前
没有伞的小白帽 攻破了该题 1天前
123456sefss 攻破了该题 1天前
hanzkj 攻破了该题 1天前
920917544 攻破了该题 1天前
Tennnnn 攻破了该题 1天前
fengye123 攻破了该题 1天前
desireart 攻破了该题 1天前
bushi 攻破了该题 1天前
orange2015 攻破了该题 1天前
timmy 攻破了该题 1天前
Fright_Moch 攻破了该题 1天前
评论
TortoisEast 20天前
举报
莫名其妙的题
一个姓⎝李⎠的师傅~ 1月前
举报
小白的一点思路:https://www.yuque.com/u21437924/ap9vtm/gqkc3dcfmfpe5p85?singleDoc#w6JEH
ubudj 1月前
举报
flag{****}
zhenhui 1月前
举报
绷不住了直接传x=admin就ok了 QWQ
wywsssf 1月前
举报
dirsearch扫描,几个绿色文件挨个试,只有加robot.txt时会有不同显示,提示有个resual.php,接在链接后面尝试访问,进入新的页面,说不是管理员访问且下面有参数x=密码,先尝试改ip,x-forwarded-for:127.0.0.1 ,发现还是一样,有点疑惑,尝试爆破x参数的密码,得出密码admin,尝试链接后加参数?x=admin,意外得到,证明前面管理员IP只是干扰项
2686213396 2月前
举报
非常经典,dirsearch扫出隐藏目录文件robot.txt,再根据提示访问相应的resual.php子目录,提示你不是管理员,以及通过GET方式传递x的参数作为管理员密码,之后的思路就非常清晰了,通过url进行传参,bp抓包,发送到intruder模块进行爆破,长度异常密码为admin,观察响应,得到flag
scust 2月前
举报
if ($_GET[x]==$password)
冥王 4月前
举报
进入环境发现是个报错页面,可以用御剑和dirsearch扫描,会扫描出robots.txt,然后在网址后面加上robots.txt会提示你resual.php,直接拼接加上resual.php会提示不是管理员,但是会有一个if语句,可以丢给AI给你构造一个payload,拼接的网址加上这个?x=admin就能直接拿到flag
Makaba 5月前
举报
为啥大家的dirsearch都能扫出来robots.txt呀,我用默认的字典扫描不出来这个
TortoisEast 20天前
举报
其实也是常见思路吧,一般web页面都会自带robots.txt
theo1234 4月前
举报
不知道,但是dirsearch我用起来比dirb好,我只是新手。希望能有个人告诉我御剑怎么样。
nihaozy 4月前
举报
这个试试:-w /usr/share/seclists/Discovery/Web-Content/common.txt
江南花家第七子花满楼 5月前
举报
dirsearch扫描目录,发现一个robots.txt,提示存在resusl.php路径,拼接访问,发现进去页面后提示不是管理员,还有一个提示是if ($_GET[x]==$password) 此处省略1w字,get请求,那么后接x传参,挨个试试管理的密码,最终admin