作者名：Demo不是emo 

主页面链接：主页传送门
创作初心：舞台再大，你不上台，永远是观众，没人会关心你努不努力，摔的痛不痛，他们只会看你最后站在什么位置，然后羡慕或鄙夷
座右铭：不要让时代的悲哀成为你的悲哀
专研方向：网络安全，系统安全

每日emo：好像每天都一样 又好像每天都不一样

 

目录

一：邮箱信息泄露

二： php探针信息泄露

 三：sql文件泄露

---

 开启今日的ctf刷题吧，一起当大牛吧，冲冲冲

一：邮箱信息泄露

题目：web15

训练平台：ctfshow

题目描述：公开的信息比如邮箱，可以造成信息泄露，产生严重危害

 打开是一个音乐商城页面，根据提示我们去找公开的邮箱，果不其然，在首页最下方发现了公开的邮箱信息，如下

 这里也能看出这是个qq邮箱，主页也没什么利用信息了，我们直接目录遍历一波，如下

 可以看到扫出了很多文件，其中admin目录是比较怀疑的，我们访问一下

 可以看到admin页面是管理员登录页面，我们没拿到密码，所以试试忘记密码，结果出现了密保问题，如下

 

需要输入管理员所在的城市，而我们已经有了他的qq号，是不是就可以查出来了呢？如下

 可以看到地址在西安，直接输入该地址

 直接登录，这里的账号也是随便试试就试出admin了

 登进去就能看到flag了，Game over。

 

二： php探针信息泄露

题目：web16

训练平台：ctfshow

题目描述：对于测试用的探针，使用完毕后要及时删除，可能会造成信息泄露

打开页面如下 

 

暂时看不到什么信息，先给大家介绍一下什么是php探针（因为我做到这个题的时候也不知道），如下

php探针是一个查看服务器信息的工具，是用php语言编写的一个程序，是用来探测空间、服务器运行状况和PHP信息用的；它可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。 php探针可以用来查看服务器的状态

其实就是一个上传到服务器后可以查看服务器状态的工具，上传之后访问指定页面就可以出现探针信息页面，常见的探针有

一、雅黑PHP探针

雅黑PHP探针最大的优点是每秒更新，不用手动刷新网页，一般用于Linux操作系统的主机空间，如果是Windows系统的话，不建议大家使用。

探针信息页面：常见：        域名/tz.php 

 

二、UPUPW PHP探针

UPUPW PHP探针功能也很强大，兼容PHP5-PHP7全部版本，能够智能判断对应版本切换显示不同组件信息，更适于用在在Windows操作系统当中。

探针信息页面：常见：        域名 /u.php

三、MyProber PHP探针
MyProber PHP探针适用于熟悉PHP编程的业余爱好者及专业开发人员、机房管理人员检测系统是否配置成功以及购买虚拟主机的站长用来查看服务器整体性能。

探针信息页面：常见            域名 /index.php 
 

四、x-prober php探针
PHP探针网上有很多，但是X-prober适合“颜控第一的人士”,他的画面是真的好看

探针信息页面：常见           域名/x.php

这几个是比较主流的，因为题目说道了探针泄露，那就拿这几个探针信息页面去尝试，果然，

域名/tz.php   

成功出现了雅黑探针页面，如下

在里面也没找到flag，所以我们再看看php信息，即phpinfo ,点击下面圈出的位置就可以跳转

使用ctrl+f搜索flag，成功找到

 Game over

 三：sql文件泄露

题目：web1

训练平台：ctfshow

题目描述：备份的sql文件会泄露敏感信息

 题目的意思大概就是存在备份的sql文件泄露，那我们直接目录扫描先找到那个sql文件

 成功找到一个名为backup.sql的文件，我们访问该页面把它下载下来,下载下来打开后直接就能看到flag

所以平时小伙伴们渗透时一定要注意找到的sql文件啊，那么这题也Game over啦 

今天就这么多啦，明天我们继续