CTF -Web系列-信息漏洞

已于 2024-08-14 08:48:59 修改
阅读量1.2k 收藏 6
点赞数 13
文章标签: eclipse
于 2024-08-13 20:42:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81525518/article/details/141171274
版权

1.目录遍历

进入网址点击开始寻找flag

然后进来一个文件夹一个找

最后在4/2找到flag.txt

点进去复制回去提交就欧克了

2.PHPINFO

进入网址点击进入

ctrl+f 快捷搜索flag

找到后复制返回提交

3.备份文件下载

(1)网站源码

进入网站

dirsearch -u 加网址寻找

成功找到www.zip

回到网站加入后缀www.zip 下载

进入压缩包复制文件名

网址后加上文件名就访问到了

(2)bak文件

进入网站输入后缀index.php.bak下载文件

进入文件找到flag

(3)vim缓存

进入网址输入后缀index.php.swp下载

进入文件查找flag

(4).DS_Store

进入网址

输入后缀/.DS_Store下载

进入文件看到只有.txt文件

把.txt文件前的空格去掉

然后回到网站访问得到flag

4.Git泄露

(1)Log

使用命令进行克隆

然后进入目录

ls -al查看隐藏文件并cd进入

然后git show进行查看就得到了flag

(2)Stash

进入网站

进入kali使用命令进行克隆

进入到目录使用git stash pop查看到文件名 然后cat查看内容得到flag

(3)Index

使用命令进行克隆

进入目录使用cat查看或git show查看得到flag

5.SVN泄露

进入网站

使用

./rip-svn.pl -u加载

ls -al查看隐藏文件

然后进入目录进行查看得到flag

6.HG泄露

进入网站

./rip-hg.pl -u加载

进入目录隐藏文件查找

使用curl +网址+文件名进行查看得到flag

2301_81525518
关注
ctf-web网络安全课程视频.zip
10-19
1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
### CTF-WEB[GXYCTF 2019]BabyUpload分析 #### 知识点一:Web安全中的文件上传漏洞 在本题目中,我们面对的是一个典型的Web安全问题——文件上传漏洞。文件上传漏洞Web应用程序中最常见的安全漏洞之一,它允许...
实训作业四
2301_80652627的博客
11-24 1039
右键查看源码,即可flag
ctf-web
weixin_43150428的博客
11-04 2939
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
一文搞懂CTF实战入门
最新发布
喜欢Python编程的程序员柚柚呀
02-07 940
SSRF形成的原因:大部分是由于服务端提供了从其他服务器应用获取数据的功能,并且没有对目标地址做过滤,我们后面会举具体的例子,简而言之,存在SSRF漏洞的服务器可以作为我们攻击的跳板,直接攻击内网系统,而内网系统安全性普遍比较薄弱,就有可能造成内网沦陷。存储型XSS:把XSS Payload存储在数据库中,下次再访问时出数据库中拉取,比较常见的就是留言板,如果网站没有对用户输入做过滤,把用户输入信息直接原样记录在数据库,那么其他访问用户就会触发这个漏洞,执行XSS Payload中的代码。
CTF——简单的《WEB
焦虑的焦虑
09-10 3366
WEB入门笔记
CTF/web
05-15 126
题目简述:做法1.动图:查看源代码2.计算器:打开控制台ctrl shift c,修改mathmax3.$_get:在url后添加?what=flag4.$_post:查看源码,使用firefox hackbar 进行post data5.矛盾:is_numeric() 函数用于检测变量是否为数字或数字字符串。读代码,明确要求满足不为数字且值为1输入即可获得flag//你要知道1的任何次...
CTF web总结
热门推荐
giantbranch的专栏
04-09 8万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断更新,若我最近懒了,没怎么更新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
CTF-web 简介
iamsongyu的博客
10-08 5745
web部分是CTF的重要组成部分之一,素有WEB大魔王之称,题目种类繁多,关键是如何发现漏洞的类型和怎样构造特殊的负载绕过过滤。 CTF分为三种模式 解题模式 攻防模式 混合模式 在线工具 https://www.ctftools.com/down/ http://tool.bugku.com/jiemi/ 在线代码执行(各种网页语言 C C++) https://tool.lu/coderunn...
CTF-AWD-WEB:AWD 模式下的WEB试题仓库
05-17
在"CTF-AWD-WEB"中,重点在于Web安全领域,涵盖了各种Web应用漏洞和防护技巧。 本资源"CTF-AWD-WEB"是一个包含了多个AWD模式下Web试题的仓库,这些试题可能来源于不同的CTF线下赛事。通过这些试题,学习者可以深入...
为新手快速入门CTF-Web开发的一款把靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
CTF-Web】XSS漏洞学习笔记(附ctfshow web316-333题目)
brhhh_sehe的博客
12-19 1012
用户在输入框中输入图片地址存储到str变量中 然后在xss()函数里面给id为demo的标签设置内容(innerHTML) 内容是加载图片,所以我们输入时放一个无法加载的图片,然后触发onerror事件,在这个事件里面可以触发弹窗,注意构造payload的时候一定要把img标签进行闭合。自己语言的转义:我认为就是在该网站中,比如说存在留言功能,然后攻击者留言了一段恶意代码,这段留言是别的用户也可以访问到的,在其他用户查看这段留言的时候服务器进行解析,导致执行一些危险行为,这个整段过程就是跨站脚本攻击。
CTF--web
weixin_30586257的博客
04-27 162
https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=0 1.view source 查看源代码 1.鼠标右键。 2.view-source:+网址。 12.simple php https://adworld.xctf.org.cn/task/answer?type=web&...
CTF-WEB
just do it
02-04 1688
—http命令行工具,支持文件的上传和下载,可用于扒取内容(url设为百度,就会显示百度的界面——但此时不是跳转到百度,而是在当前页面显示百度的前端——对百度来说,是请求页面的前面的网站请求他的,不是我们的真实IP去请求的——相当于借刀杀人)一般情况下,传参都是传给当前网页,但如果当前网页是重定向的话,重定向的URL本身就是原URL的传参,如果想要文件的读取权限,只能GET传参跟在URL的后面,不能使用POST传参,POST传参是传给原来的URL。
ctfweb
weixin_64581094的博客
12-06 150
ctf弱类型
CTF-web
sleepywin的博客
03-05 130
CTF学习
CTFweb
weixin_42027200的博客
12-10 699
wireshark使用: 打开软件,选中局域网或者本地连接。 在搜索框中输入查询的ip和端口,具体格式为: http and addres IP地址 and port http and ip.addr == 127.0.0.1 and tcp.port == 8080 http and ip.addr == 127.0.0.1 and udp.port == 8080 http contains “suda” 以上三条是示例。 御剑: 打开之后直接在域名框中输入对应的域名,之后选择相应的要求。查询相应的文件
CTFweb(一)
weixin_44889655的博客
04-11 1221
web-bugku头等舱网站被黑管理员系统 头等舱 题目来源:https://ctf.bugku.com/challenges 地址:http://123.206.87.240:9009/hd.php 打开页面是这样的: 看到题目,先架起我的三板斧 先查看一下页面源代码,没发现有用的东西。 -拿出大杀器burp 抓包看看: 没发现什么有用的信息,但看到题目突然想到(原谅我反应慢),此题...
实验吧CTF-web
code_lab
02-27 6477
登陆一下好吗类型:sql注入已经过滤了/ # -- select or union |等,但是没有过滤单引号payload:username=pcat'='&password=pcat'='原sql语句为:select * from user where username='用户名' and password='密码'拼接后为:select * from user where username='p
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值