一、源码泄露
- 启动靶场,点击连接进入网站
- 查看网页原代码
3.flag为ctfshow{a227c846-5054-47c8-b76a-b9d67ebda137}
二、前台JS绕过
- 启动靶场,点击连接进入网页后发现无法查看原代码
2.使用Burp Suite进行抓包找到flag
3.flag为ctfshow{a8f250d8-63c1-45f6-93f8-91ad5a1c7800}
三、协议头信息泄露
- 启动靶场,点击连接进入网页,查看源代码没有信息
- 使用Burp Suite进行抓包找到flag
- flag为ctfshow{cb3c8e2b-717f-4e81-8f86-fbd5821ca8a5}
四、robots后台泄露
1.启动靶场,点击连接进入网页,拼接/robots.txt
- 发现有一个地址/flagishere.txt,进行拼接找到flag
3.flag为ctfshow{8e65bb39-35f4-436c-af62-707830c145ad}
五、phps源码泄露
- 启动靶场,点击连接进入网页,拼接/index.phps弹出下载文件
2.用记事本打开下载的文件,查看到flag
3.flag为ctfshow{fe2d0b69-1038-429b-9bb0-e2342ae6156d}
六、源码压缩包泄露
1.启动靶场,点击连接进入网页,拼接/www.zip弹出下载文件
2.打开index.php文件提示flag在fl000g.txt文件中,拼接/fl000g.txt找到flag
3.flag为ctfshow{9d053315-c527-444c-ab48-fb3798fb59d8}
七、版本控制泄露源码
1.启动靶场,点击连接进入网页
2. 在运行git这个开源的分布式版本控制系统的时候,会在当前目录下面产生一个.git的隐藏目录,用来记录代码的变更记录等等。拼接/.git找到flag
3.flag为ctfshow{13ffd261-c48b-45da-ad0a-ad7137481032}
八、版本控制泄露源码2
1.启动靶场,点击连接进入网页
2. 在运行SVN(subversion)源代码版本管理软件的时候,会在项目目录下自动生成隐藏的.svn文件夹,拼接/.svn找到flag
3.flag为ctfshow{58727447-e933-471e-af4f-6960be850f43}
九、vim临时文件泄露
1.启动靶场,点击连接进入网页
2.在编辑文件时会产生一个.swp的临时交换文件,用来备份缓冲区中的内容。如果遇到一些不正确的操作比如非常规退出、电源突然断掉时会保存,swp文件。拼接/index.php.swp下载文件,用记事本打开找到flag
3.flag为ctfshow{270e6a67-bd7c-429e-a222-9f86687c27ea}
十、cookie泄露
1.启动靶场,点击连接进入网页
2.使用Burp Suite进行抓包找到flag,发现这个flag有点不一样,这是因为 “{”和“}”使用了百分号编码,” %7B”和” %7D”所代表的就是”{”和”}”
3.flag为ctfshow{0dc02d02-1e95-472a-a69f-d67cd72bea79}