翻开页里,机造是输进用户名战七位数字,假如两个及以上数字不异时,赐与对应的金币,获得必然数目后,便可购置flag
利用dirsearch目次扫描东西,检察能否有敏感文件
号令【python dirsearch.py -e * -u http://111.200.241.244:55960/】
见告存正在git保守
接下去利用的是kali下的GitHack东西(kali高低载githack教程),假如念利用windows版本的GitHack的话python版本必需是2面几的,3及以上没有撑持
GitHack是一个.git保守利用剧本,经由过程保守的.git文件夹下的文件,重修复原工程源代码。
扫描http://111.200.241.244:55960/.git/
号令【python GitHack.py http://111.200.241.244:55960/.git/】
扫描完成后,会将扫描后的数据主动保留至装置目次下,以ip+端标语为文件名
翻开api.php文件发明,号令【cat api.php】,内里有一段闭于抽奖的php代码,经由过程用户输进的数据取随机天生的数停止比力,假如两个及以上数字不异时,赐与对应的金币,那里使用了强比力,尝试利用true绕过
正在输进抽奖数字页里,停止抓包,用户输进的数变动为true,而且需求是数组
面击重放
多重放几回后,革新当前页里便可购置flag
免责声明:假如进犯了您的权益,请联络站少,我们会实时删除侵权内乱容,感谢协作! |
1、本网站属于个人的非赢利性网站,转载的文章遵循原作者的版权声明,如果原文没有版权声明,按照目前互联网开放的原则,我们将在不通知作者的情况下,转载文章;如果原文明确注明“禁止转载”,我们一定不会转载。如果我们转载的文章不符合作者的版权声明或者作者不想让我们转载您的文章的话,请您发送邮箱:Cdnjson@163.com提供相关证明,我们将积极配合您!
2、本网站转载文章仅为传播更多信息之目的,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证信息的正确性和完整性,且不对因信息的不正确或遗漏导致的任何损失或损害承担责任。
3、任何透过本网站网页而链接及得到的资讯、产品及服务,本网站概不负责,亦不负任何法律责任。
4、本网站所刊发、转载的文章,其版权均归原作者所有,如其他媒体、网站或个人从本网下载使用,请在转载有关文章时务必尊重该文章的著作权,保留本网注明的“稿件来源”,并自负版权等法律责任。
代码
1534 人阅读
|
0 人回复
