当前位置：首页 > news >正文

JIS-CTF: VulnUpload靶场渗透

news 来源：原创 2025/6/25 5:52:16

JIS-CTF: VulnUpload来自

<https://www.vulnhub.com/entry/jis-ctf-vulnupload,228/>

1,将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

靶机IP地址192.168.23.162，攻击机IP地址192.168.23.140

3，扫描靶机端口服务

nmap -sS -sV -n -T4 -p- -A192.168.23.162

端口和服务：

SSH 主机密钥：

HTTP 信息：

网页标题：Sign-Up/Login Form（注册/登录表单）
请求的资源：login.php
服务器标头：Apache/2.4.18 (Ubuntu)
robots.txt 文件中禁止访问的目录：
- /、/backup、/admin、/admin_area、/r00t、/uploads、/uploaded_files、/flag 等

设备和操作系统信息：

4，访问80端口开放的HTTP服务

初始就是一个登录页面

5，爆破扫描出其存在的子目录页面

dirsearch -u http://192.168.23.162 -x 404,403

存在robots.txt查看一下

/backup 什么都没有
/admin 什么都没有
/admin_area

/r00t 什么都没有
/uploads 什么都没有
/uploaded_files 一片空白

/flag

信息收集得到第一个flag，The 1st flag is : {8734509128730458630012095}

http://192.168.23.162/js/index.js

1. 表单标签的动态效果：

通过绑定 keyup, blur, 和 focus 事件，动态地改变表单元素前面标签（label）的样式，以实现标签的浮动效果，增强用户交互体验。

keyup 事件：每当用户输入时触发。
- 如果输入框（input 或 textarea）的值为空，标签移除 active 和 highlight 类，表示标签回到默认位置。
- 如果输入框有值，标签添加 active 和 highlight 类，标签上浮。
blur 事件：当输入框失去焦点时触发。
- 如果输入框的值为空，标签移除 active 和 highlight 类，标签恢复原位。
- 如果输入框有值，标签只移除 highlight 类（但保留 active 类），标签保持浮动状态。
focus 事件：当输入框获得焦点时触发。
- 如果输入框为空，标签移除 highlight 类。
- 如果输入框有值，标签添加 highlight 类，标签会有高亮效果。

2. 标签切换效果：

通过 click 事件绑定在 .tab a 元素上，实现标签的切换效果。具体步骤如下：

click 事件：当用户点击标签时触发。
- 阻止默认的跳转行为（e.preventDefault()），因为标签是通过显示和隐藏内容来切换的，不需要进行页面跳转。
- 当前点击的标签的父元素（<li>）被添加 active 类，同时去除兄弟元素的 active 类，实现当前标签的高亮。
- 根据点击的标签的 href 属性（即对应的目标区域 div），找到目标内容区并显示。
- 使用 fadeIn(600) 使目标内容区淡入，显示出来，同时隐藏其他非目标内容区。

总结：