黑客榜中榜,超詳細攻略!小白整理
黑客榜中榜第一期攻略
本人萌新小白一個,盡量把步驟都詳細的整理出來,供新手參考。
先是第一期第一關
上圖.....
這個是在未知的情況下要求通過各種方法獲取到密碼,然後登陸!
我使用的是火狐瀏覽器,使用F12快捷鍵,可以看到網頁HTML源代碼,分析源代碼! 很多我都看不懂.......
分析一下能看懂的:
if判斷試 首先定義了一個全局變量“X”(至於“X”等於啥玩意我就不知道了,回頭再研究)
下面就是判斷 “X”是否等於 “go ”如果等於彈窗提示“恭喜您,答對了,進入第二關!”
反之執行彈窗提醒“別灰心,再試一次!”
這就知道密碼就是if判斷式裏的“go ”
因為不知道幾個空格所以復制引號裏的值,當做密碼粘貼即可通關!
=========================================
進入第二關
提示密碼在圖片裏,拖動圖片右鍵另存到本地。
之後用文本編輯器打開圖片
看到一個我唯一能看懂的....過關
http://www.cn-hack.cn/qs/2sdfadf.htm
替換為:http://www.cn-hack.cn/qs/or3.htm
=====================================
進入第三關
只看到一串加密後的字符,復制拿去破解.....
找到一個xss在線小助手,隨便翻譯了一下發現十六進制下面的又帶有%,所以把密碼復制到十六進制url轉換裏,輕松解出來一個URL
=========================================
進入第四關
先看網頁源代碼,分析網頁腳本。
看起來沒頭沒尾的,啥都沒怎麽搞?!?
我是真的搞了好長時間沒頭緒,怒了!!
那就大膽是試一試,admin 123456
這次彈出了一個新網頁來提示我用戶名密碼錯誤,感覺有點多此一舉啊!
就在這個頁面看看網頁源代碼
套路真的深....
====================================
進入第五關
這裏提到通用密碼
SQL語句裏有一個or的或運算,意思就是判斷2個條件是否為真(true)
如果2個條件一真一假,則返回真。
如果2個條件同為假,則返回假。
如果2個條件同為真,則返回真。
這就是或運算。
在網頁上只要能打開網頁就說明URL是真實存在的,可以理解為返回值為真(true),那麽網頁上用或運算可以在or後面輸入任意判斷式,例如: and 1=2,返回值為假(false),如果2個條件一真一假,則返回真。
當然這種方法只存在有這個漏洞的網頁中,可以判斷網頁是否有註入漏洞。
提示通用密碼中的兩個字母
那就用 or 試一下
通關了。。。
本篇帖子獻給初學者,有寫的不好或者錯誤的地方歡迎在下方評論區留言,我會及時更正!
本文出自 “10914757” 博客,謝絕轉載!
黑客榜中榜,超詳細攻略!小白整理