CTFShow-WEB入门篇--信息搜集详细Wp

news2024/12/23 9:03:01

CTFShow-WEB入门篇详细Wp

  • 信息收集:
    • web1:
    • web2:
    • web3:
    • web4:
    • web5:
    • web6:
    • web7:
    • web8:
    • web9:
    • web10:
    • web11:
    • web12:
    • web13:
    • web14:
    • web15:
    • web16:
    • web17:
    • web18:
    • web19:
    • web20:

CTFShow 平台:https://ctf.show/

信息收集:

web1:

直接F12查看源代码

在这里插入图片描述
在这里插入图片描述

ctfshow{54295faf-6444-41fa-8052-cc2d527f0c66}

web2:

js前台拦截 === 无效操作

一般查看源码有三种方法 1:url前面+view-source 2:ctrl+u 3. F12 (记得点赞收藏~)

在这里插入图片描述

ctfshow{61b250a7-9c88-443c-9ec4-677e6f8e5131}

web3:

没思路的时候抓个包看看,可能会有意外收获

在这里插入图片描述

ctfshow{4439a6c9-64b2-436e-8a2e-d59c493ff52d}

web4:

总有人把后台地址写入robots,帮黑阔大佬们引路
在这里插入图片描述
在这里插入图片描述

web5:

phps源码泄露有时候能帮上忙

根据提示访问index.phps下载文件打开即可。

在这里插入图片描述

ctfshow{cdf3d8c5-c401-4e5e-a3b2-7a126415c95a}

web6:

解压源码到当前目录,测试正常,收工

根据提示 源码 想到信息泄露 可能有.git www.zip/rar 或者backups等文件。

www.zip源码中告诉我们有个fl000g.txt进行访问即可。

在这里插入图片描述

ctfshow{f8006bfd-e180-49c4-8353-6d213bbeabe2}

web7:

版本控制很重要,但不要部署到生产环境更重要。

dirsearch 扫到.git文件信息泄露了 上面刚说完这就考到了 可以可以 访问即可。

在这里插入图片描述

ctfshow{33e94efb-0d93-4bb9-be57-9c5a5e070fb0}

web8:

版本控制很重要,但不要部署到生产环境更重要。

怎么又是这个提示 不会又是git 泄露吧 在dirsearch 扫一下看看 🆗这回是svn信息泄露!

SVNsubversion的缩写,是一个开放源代码的版本控制系统

使用svn checkout后,项目目录下会生成隐藏的.svn文件夹 里面包含备份文件 swp和这个也是一样的。
在这里插入图片描述
在这里插入图片描述

ctfshow{ae7cc39a-88da-40ad-9cbe-095be6a0c9ba}

web9:

发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了

上一题刚说这一题提示就来了vim 就是swp 直接访问 index.php.swp即可。

在这里插入图片描述

ctfshow{20d57e07-813f-4133-9fc2-1b3d7999f890}

web10:

cookie 只是一块饼干,不能存放任何隐私数据

F12去网络里面找cookieurl编码解码即可。

在这里插入图片描述
在这里插入图片描述

ctfshow{7b73f5ee-48b5-4f4e-9a17-a1482c3380a1}

web11:

域名其实也可以隐藏信息,比如flag.ctfshow.com 就隐藏了一条信息

在这里插入图片描述

flag{just_seesee}

web12:

有时候网站上的公开信息,就是管理员常用密码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{d5c1e33e-783d-43e4-a38c-c5c60398870a}

web13:

技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码
在这里插入图片描述
F12查看源代码找到了一个pdf下载下来得到账号密码登入即可。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{afe09a55-9452-4373-9583-074b1f441d1b}

web14:

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

根据提示直接在url后面加editor 上传flag000g.txt文件然后访问即可(这题挺好玩的)
在这里插入图片描述

在这里插入图片描述

ctfshow{065c5b31-c650-405f-b946-792ebb342e36}

web15:

公开的信息比如邮箱,可能造成信息泄露,产生严重后果
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{bf660ad3-6a42-4db7-9470-0e0b9805e314}

web16:

对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露
在这里插入图片描述

在这里插入图片描述

ctfshow{abe47f9e-3bf8-45ba-9293-697f33fa5a05}

web17:

备份的sql文件会泄露敏感信息

直接访问backup.sql 下载后打开即可。

在这里插入图片描述

ctfshow{cf374ef1-88df-464e-9954-7a49ec65f5e3}

web18:

不要着急,休息,休息一会儿,玩101分给你flag

玩不了一点,直接看js文件 Unicon编码解码即可。

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{54ff1707-3248-4863-b3ba-b8b96d67cd6f}

web19:

密钥什么的,就不要放在前端了

ctrl+u 看源码 登入发现失败了 抓个包发现不是这个密钥 然后把刚刚那个复制进去即可。

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

ctfshow{b44f0842-b40a-46e4-b8f1-a895a022f153}

web20:

mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。
在这里插入图片描述

flag{ctfshow_old_database}

在这里插入图片描述
至此这篇就先到这里了感谢大家的观看 题目比较入门很适合刚入门学习CTF-Web安全的小白 记得来个三联感谢支持!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/601546.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于linux的程序库文件打包和调用的实现(二)——动态库文件打包和调用

随着技术的发展,基于linux项目的软件代码越发复杂,原来一个人可以完成的软件项目,现在可能需要多个人合作、多个部门合作、多个企业合作,每个人、每个部门、每个企业可能负责部分软件模块的开发。各个软件模块在调试过程由于涉及企…

测试思想-集成测试 关于接口测试 Part 2

5. 用例设计思想(举例说明) 如上表,是某个接口说明文档中的一个接口,课程检索,其中“v1/Lesson/testsrch/?” 为接口调用地址,此外,还给出了接口函数输出(即Server Response)及返回值。 问:怎么设计&…

如何免费在线把Figma转成Sketch

我相信所有的设计师都非常熟悉新的设计工具。Figma以其在线合作的特点受到设计师的欢迎。然而,对于设计师来说,在实际工作中,有时需要使用Sketch编辑Figma文件。 今天推荐一款Figma转换Sketch文件格式的免费工具。 下面具体介绍如何通过即时…

chatgpt赋能python:Python内置函数表

Python内置函数表 Python是一种高级编程语言,具有许多内置函数,可用于各种用途,例如处理字符串、操作文件、执行数学计算等等。在本文中,我们将介绍Python内置函数表并讨论其中的一些常见用途。 什么是Python内置函数&#xff1…

JavaFX 树视图TreeView

JavaFX 树视图TreeView 1、TreeView基础查看2、显示案例 1、TreeView基础查看 javafx.scene.control.TreeView<T> javafx.scene.control.TreeItem<T> w3cschool&#xff1a;JavaFX 树视图 DOC-03-14 树视图(Tree View) JavaFX视频教程第101课&#xff0c;TreeView…

List 的使用

1. List 列表视图实现增删改操作 /// 列表视图 struct ListBootcamp: View {/// 水果State var fruits: [String] ["apple", "orange", "banana", "peach"]/// 蔬菜State var veggies: [String] ["tomato", "potato…

【笔试强训编程题】Day4.(计算糖果 46579 ) 和(进制转换 58541)

作者简介&#xff1a;大家好&#xff0c;我是未央&#xff1b; 博客首页&#xff1a;未央.303 系列专栏&#xff1a;笔试强训编程题 每日一句&#xff1a;人的一生&#xff0c;可以有所作为的时机只有一次&#xff0c;那就是现在&#xff01;&#xff01;&#xff01; 文章目录…

如何在Moonbeam DAPP质押GLMR

Moonbeam自上线以来一直稳步成长&#xff0c;并致力于为以太坊生态的项目提供一个进入波卡生态的入口。Moonbeam的官方质押Dapp于今年3月迎来一次大改版&#xff0c;旨在为用户提供更直观的质押操作体验。了解升级版Dapp详情&#xff0c;请阅读此文章。 当然大家最关心也是如何…

JavaEE 简单前后端分离小项目 - 表白墙

plus版表白墙&#xff01;✿✿ヽ(▽)ノ✿ 文章目录 JavaEE & 简单前后端分离小项目 - 表白墙1. body格式约定 - 应用层协议2. 后端处理请求2.1 模板2.2 doGet方法2.3 doPost方法 3. 前端制作请求并解析响应3.1 原前端页面的代码3.2 刷新时发送GET请求3.3 点击发送时构造Pos…

Photoshop 2023 v24.5/24.6beta版「支持M1、支持神经滤镜、FireflyAI 新功能」

24.6beta试用FireflyAI 新功能&#xff0c;需要外网ID, 并且要先试用&#xff0c;后激活 psv24.5支持神经滤镜&#xff0c;激活前需要登录Adobe账号试用&#xff0c;退出后再去运行激活补丁&#xff01; Photoshop 2023 v24.5/24.6beta版「支持M1、支持神经滤镜、FireflyAI 新…

【开源项目】ChatGPT智能聊天系统后台管理解析

ChatGPT是likeshop近期新研发出来的一款AI智能聊天对话的产品&#xff0c;此系统是基于likeadmin-PHP开发的智能对话系统&#xff0c;ChatGPT是一种基于人工智能技术的聊天机器人&#xff0c;它可以与用户进行自然语言对话&#xff0c;提供各种服务和答案。ChatGPT的核心技术是…

海绵城市智慧监测系统功能、适用范围有哪些?

一、海绵城市在线监测系统拓扑图 海绵城市在线监测系统是通过RTU使用3G/4G信号进行无线传输等方式&#xff0c;将温度、水位、风速、风向、雨量、色度、浊度等数据传输到在线监测平台。经过软件平台的系统性处理后再通过LED显示屏直观、快捷的展现给用户。用户也可以通过电脑、…

【Unity Optimize】Unity中的优化工具和优化方法介绍

目录 1 Unity项目优化的必要性2 Unity自带的优化工具2.1 Profiler窗口Profile Analyzer 2.2 Stats窗口2.3 Frame Debugger窗口 3 其他优化方法3.1 批处理&#xff08;Batching&#xff09;3.2 内存管理&#xff08;Memory Handling&#xff09;3.3 对象池&#xff08;Object Po…

linux部署mysql服务

记录阿里云服务器linux上部署mysql服务。 文章目录 1. 下载rpm包2. 上传解压rpm包3. 安装rpm包4. 启动mysql服务5. 修改root的密码6. 创建远程连接用户7. 检查防火墙8. 阿里云安全组开放3306端口9. 远程连接10. 停止数据库服务 1. 下载rpm包 mysql下载rpm包&#xff0c;链接&…

性能测试如何入门?熬夜7天整理出这一份3000字超全学习指南

赶鸭子上架要我搞性能测试&#xff0c;怎么办&#xff1f; 我第一次真正意义上搞性能测试是在2014年。项目组要求搞性能测试&#xff0c;我之前也没搞过&#xff0c;对服务端也不熟悉。就那么一脸懵逼地开始搞性能。当时我连linux上有哪些能看系统资源的命令都不知道。稀里糊涂…

是否应该学习Qt作为主要编程语言C/C++的补充?

如果您以C/C作为主要编程语言&#xff0c;学习Qt是一个不错的选择。主要还是学习Qt的思想。 在初期阶段&#xff0c;您可以学习如何使用Qt设计界面。您可以使用Qt Designer拖拽控件&#xff0c;这样做比较直观。当然&#xff0c;您也可以手写代码实现界面。 Qt目前主要提供了…

第十八篇、基于Arduino uno,获取手势识别传感器的信号——结果导向

0、结果 说明&#xff1a;该传感器模块集手势识别和触摸检测功能于一体&#xff0c;提供0~30cm以内的可调检测范围。它可以检测 5 向触摸信号和 7 种手势&#xff1a;向左移动、向右移动、向前移动、向后移动、向上拉、向下拉、拉和移除。 1、外观 说明&#xff1a;虽然手势…

Web安全:拿到 Web 服务器 最高权限.(vulntarget 靶场 1)

Web安全&#xff1a;拿到 Web 服务器 最高权限. Web 服务器一般指网站服务器&#xff0c;是指驻留于因特网上某种类型计算机的程序&#xff0c;可以处理浏览器等Web客户端的请求并返回相应响应&#xff0c;也可以放置网站文件&#xff0c;让全世界浏览&#xff1b;可以放置数据…

软考A计划-网络规划设计师-学习笔记-下

点击跳转专栏>Unity3D特效百例点击跳转专栏>案例项目实战源码点击跳转专栏>游戏脚本-辅助自动化点击跳转专栏>Android控件全解手册点击跳转专栏>Scratch编程案例 &#x1f449;关于作者 专注于Android/Unity和各种游戏开发技巧&#xff0c;以及各种资源分享&am…

从零开始Vue3+Element Plus后台管理系统(18)——权限路由实现

一开始打算做两种模式的路由权限&#xff0c;最后还是分成了3种&#xff0c;分别是&#xff1a; 前端固定路由&#xff0c;所有路由是固定的&#xff0c;通过权限过滤菜单和显示前端动态路由&#xff0c;通过权限过滤路由表和菜单后端动态路由&#xff0c;获取接口返回数据&am…