164 字
1 分钟
网站被黑
由题目可知网站存在漏洞。
- 右键查看源代码,不能右键——没事
- F12 查看元素,也没有特别的地方
用 dirsearch 扫有用的目录:
发现 ./shell.php 有个登录界面,随便试了弱密码,不行。
用 hydra 爆破
hydra -l "" -P /usr/share/wordlists/rockyou.txt 117.72.52.127 -s 16007 http-post-form "/shell.php:password=^PASS^:不是自己的马不要乱骑!" -V -t 10
爆了老久,密码是 hack。
不知道为啥这么久,感觉字典用法要优化,限定长度和范围会快很多。
其他师傅的方法:目录扫描找到 shell.php,然后用 BurpSuite 自带的 password list 爆破,用 Grep-Match 匹配响应里的 flag 关键字,能快速定位正确密码。
分享
如果这篇文章对你有帮助,欢迎分享给更多人!
部分信息可能已经过时
相关文章 智能推荐