2019年CISCN(全国大学生信息安全竞赛)华南赛区wp
题目是在Fix It环境拷下来的,写writeup时的环境是自己搭的
有些题目忘记拷贝数据库,各位大佬凑活看吧
题目的GitHub仓库:https://github.com/NS-Sp4ce/2019-Ciscn-Southern-China-Web
Web1Break It打开页面如下
按照惯例Ctrl+U看源代码,发现被注释的<!-- <p class="forgot"><a id="iforget" href="forgetpassword.php">Forgot your password?</a></p>-->
字面意思是重置密码的页面,访问试试
由于不知道用户名,抓包随便输入个用户名看看返回的信息
OK,找个用户名字典爆破下
设置下
爆破出admin123这个用户存在
输入后,跳转到下一个页面
4位验证码爆破走起
扔Burpsuite里
设置
走起,然后踩了第一个坑
验证码全部错误,Ctrl+U看了下源代码
哦豁,设置b ...