还是来拜一下祖师爷吧~
重要声明
该培训中提及的技术只适用于合法CTF比赛和有合法授权的渗透测试,请勿用于其他非法用途,如用作其他非法用途与本文作者无关
今天我们来说一下上次三个靶机的解题过程和思路
第一题简单一点的主要是利用源码泄露中出现的用户名和密码实现登录,主要考察的是网站后台备份方法的知识
第二题中我们通过绕过后台权限控制查看到了flag的内容,考察的是对于网站权限控制的理解和利用
第三题中,是上一题的升级版,我们在发现网站的username和uid都被加密之后,在不知道加密算法的时候,通过构造加密字符串实现uid的指定生成,之后使用这个uid绕过权限校验,获得了高权限的内容
还是来看视频吧~
https://www.bilibili.com/video/av32024602/
有同学说为啥以前的视频不见了~
毕竟这东西放公网不太好吧~~~
扫那个啥除那个啥就把你扫了是不是~?
(其实有备份的~)啊哈哈哈
本文完
下期内容:综合实战和讲解三