评分(11)
解题动态
Hyp0cr1t3 攻破了该题 1小时前
Naiye 攻破了该题 1小时前
2241412685 攻破了该题 12小时前
a934523 攻破了该题 14小时前
13551372126 攻破了该题 15小时前
18318328376 攻破了该题 16小时前
yyhh 攻破了该题 17小时前
knowknow 攻破了该题 19小时前
13253897675 攻破了该题 20小时前
13299506253 攻破了该题 1天前
TUGUNBB 攻破了该题 1天前
sp521521 攻破了该题 1天前
无限气2024 攻破了该题 1天前
青鸟鸣月 攻破了该题 1天前
xyy123 攻破了该题 1天前
bugkukuxie 攻破了该题 1天前
15664977671 攻破了该题 1天前
yangyunhui 攻破了该题 1天前
gxrtbtc 攻破了该题 2天前
评论
2686213396 4天前
举报
非常经典,dirsearch扫出隐藏目录文件robot.txt,再根据提示访问相应的resual.php子目录,提示你不是管理员,以及通过GET方式传递x的参数作为管理员密码,之后的思路就非常清晰了,通过url进行传参,bp抓包,发送到intruder模块进行爆破,长度异常密码为admin,观察响应,得到flag
scust 9天前
举报
if ($_GET[x]==$password)
冥王大人 2月前
举报
进入环境发现是个报错页面,可以用御剑和dirsearch扫描,会扫描出robots.txt,然后在网址后面加上robots.txt会提示你resual.php,直接拼接加上resual.php会提示不是管理员,但是会有一个if语句,可以丢给AI给你构造一个payload,拼接的网址加上这个?x=admin就能直接拿到flag
Makaba 3月前
举报
为啥大家的dirsearch都能扫出来robots.txt呀,我用默认的字典扫描不出来这个
theo1234 2月前
举报
不知道,但是dirsearch我用起来比dirb好,我只是新手。希望能有个人告诉我御剑怎么样。
nihaozy 2月前
举报
这个试试:-w /usr/share/seclists/Discovery/Web-Content/common.txt
江南花家第七子花满楼 3月前
举报
dirsearch扫描目录,发现一个robots.txt,提示存在resusl.php路径,拼接访问,发现进去页面后提示不是管理员,还有一个提示是if ($_GET[x]==$password) 此处省略1w字,get请求,那么后接x传参,挨个试试管理的密码,最终admin
weiyouzhunze 3月前
举报
为啥不是设置为自己的主机为代理,难道是这个网址比前面几个高级了,在这方面更安全了,能知道我真实地址的原因么
HK1ng 3月前
举报
...dirsearch扫描,出现robots.txt,提示有resusl.php,但是进去之后提示不是管理员,ip被记录了,我还以为要xff,结果是get传参,挺...
zhwen 3月前
举报
robots协议利用,结合题目名称解题
看writeup刷题 4月前
举报
1个金币就够了吧
3406290772 5月前
举报
先用dirsearch进行扫描,得到一个robots.txt文件再用浏览器进行访问这个文件,又得到一个resusl.php,再次进行访问发现有if ($_GET[x]==$password) 此处省略1w字这个东西,反正具有管理员权限的名字就这几个,挨个试就行了。