HTB Carpediem. Сбегаем из Docker-контейнеров - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
25-03-2023, 14:55
HTB Carpediem. Сбегаем из Docker-контейнеров - «Новости»
Рейтинг:
Категория: Новости

dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:




  • -w — сло­варь (я исполь­зую сло­вари из набора SecLists);


  • -t — количес­тво потоков;


  • -u — URL.


Читайте также - Для того, чтобы поднять настроение и зарядиться положительной энергией на целый день рекомендуется смотреть красивые картинки, поделки и многое другое. Комната в стиле космос для подростков посмотреть.

ffuf -u 'http://carpediem.htb/FUZZ' -wdirectory_2.3_medium_lowercase.txt -t 256
HTB Carpediem. Сбегаем из Docker-контейнеров - «Новости»
Ре­зуль­тат ска­ниро­вания катало­гов с помощью ffuf

Ни­чего инте­рес­ного и тут. Идем даль­ше и ска­ниру­ем под­домены, для чего нам нуж­но переби­рать запись в HTTP-заголов­ке HOST. При этом исполь­зуем филь­тр --fs, который поможет отсе­ять лож­ные стра­ницы по их раз­меру.


ffuf -u 'http://carpediem.htb/FUZZ' -wsubdomains-top1million-110000.txt -H 'Host: FUZZ.carpediem.htb' -t 256 --fs2875
Ре­зуль­тат ска­ниро­вания под­доменов с помощью ffuf

На­ходим новый под­домен, поэто­му допол­няем запись в фай­ле /etc/hosts и идем смот­реть новый сайт.


10.10.11.167 carpediem.htb portal.carpediem.htb
Глав­ная стра­ница сай­та portal.carpediem.htb 

Точка входа


Пер­вым делом обра­тим вни­мание на то, как под­клю­чает­ся стра­ница. Это про­исхо­дит через параметр p.


Спо­соб обра­щение к стра­нице

Так­же на сай­те мож­но зарегис­три­ровать­ся и авто­ризо­вать­ся. Сде­лаем это!


Ре­гис­тра­ция нового поль­зовате­ля

Ес­ли всю работу вес­ти в Burp Proxy, то в исто­рии зап­росов мож­но заметить обра­щение к какому‑то фай­лу /classes/Master.php, которо­му в парамет­ре f переда­ется коман­да register.


Ис­тория зап­росов на сер­вер при регис­тра­ции

Но вер­немся к заг­ружа­емой через параметр стра­нице и про­верим, нет ли здесь уяз­вимос­ти LFI. Для это­го перебе­рем раз­ные наг­рузки через Burp Intruder.


Burp Intruder — вклад­ка Positions
Burp Intruder — резуль­тат ска­ниро­вания

dirsearch и DIRB. Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры: -w — сло­варь (я исполь­зую сло­вари из набора SecLists); -t — количес­тво потоков; -u — URL. Читайте также - Для того, чтобы поднять настроение и зарядиться положительной энергией на целый день рекомендуется смотреть красивые картинки, поделки и многое другое. Комната в стиле космос для подростков посмотреть. ffuf -u 'http:// carpediem. htb/ FUZZ' -w directory_ 2. 3_ medium_ lowercase. txt -t 256 Ре­зуль­тат ска­ниро­вания катало­гов с помощью ffufНи­чего инте­рес­ного и тут. Идем даль­ше и ска­ниру­ем под­домены, для чего нам нуж­но переби­рать запись в HTTP-заголов­ке HOST. При этом исполь­зуем филь­тр --fs, который поможет отсе­ять лож­ные стра­ницы по их раз­меру. ffuf -u 'http:// carpediem. htb/ FUZZ' -w subdomains- top1million- 110000. txt -H 'Host: FUZZ. carpediem. htb' -t 256 --fs 2875 Ре­зуль­тат ска­ниро­вания под­доменов с помощью ffufНа­ходим новый под­домен, поэто­му допол­няем запись в фай­ле /etc/hosts и идем смот­реть новый сайт. 10. 10. 11. 167 carpediem. htb portal. carpediem. htb Глав­ная стра­ница сай­та portal.carpediem.htb Точка входа Пер­вым делом обра­тим вни­мание на то, как под­клю­чает­ся стра­ница. Это про­исхо­дит через параметр p. Спо­соб обра­щение к стра­ницеТак­же на сай­те мож­но зарегис­три­ровать­ся и авто­ризо­вать­ся. Сде­лаем это! Ре­гис­тра­ция нового поль­зовате­ляЕс­ли всю работу вес­ти в Burp Proxy, то в исто­рии зап­росов мож­но заметить обра­щение к какому‑то фай­лу /classes/Master.php, которо­му в парамет­ре f переда­ется коман­да register. Ис­тория зап­росов на сер­вер при регис­тра­цииНо вер­немся к заг­ружа­емой через параметр стра­нице и про­верим, нет ли здесь уяз­вимос­ти LFI. Для это­го перебе­рем раз­ные наг­рузки через Burp Intruder. Burp Intruder — вклад­ка Positions Burp Intruder — резуль­тат ска­ниро­вания

Теги: CSS

Просмотров: 443
Комментариев: 0:   25-03-2023, 14:55
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle