总有人把后台地址写入robots,帮黑阔大佬们引路
web5:
phps源码泄露有时候能帮上忙
根据提示访问index.phps下载文件打开即可。
ctfshow{cdf3d8c5-c401-4e5e-a3b2-7a126415c95a}
web6:
解压源码到当前目录,测试正常,收工
根据提示 源码 想到信息泄露 可能有.git www.zip/rar 或者backups等文件。
www.zip源码中告诉我们有个fl000g.txt进行访问即可。
ctfshow{f8006bfd-e180-49c4-8353-6d213bbeabe2}
web7:
版本控制很重要,但不要部署到生产环境更重要。
dirsearch 扫到.git文件信息泄露了 上面刚说完这就考到了 可以可以 访问即可。
ctfshow{33e94efb-0d93-4bb9-be57-9c5a5e070fb0}
web8:
版本控制很重要,但不要部署到生产环境更重要。
怎么又是这个提示 不会又是git 泄露吧 在dirsearch 扫一下看看 🆗这回是svn信息泄露!
SVN是subversion的缩写,是一个开放源代码的版本控制系统
使用svn checkout后,项目目录下会生成隐藏的.svn文件夹 里面包含备份文件 swp和这个也是一样的。
ctfshow{ae7cc39a-88da-40ad-9cbe-095be6a0c9ba}
web9:
发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了
上一题刚说这一题提示就来了vim 就是swp 直接访问 index.php.swp即可。
ctfshow{20d57e07-813f-4133-9fc2-1b3d7999f890}
web10:
cookie 只是一块饼干,不能存放任何隐私数据
F12去网络里面找cookie值 url编码解码即可。
ctfshow{7b73f5ee-48b5-4f4e-9a17-a1482c3380a1}
web11:
域名其实也可以隐藏信息,比如flag.ctfshow.com 就隐藏了一条信息
flag{just_seesee}
web12:
有时候网站上的公开信息,就是管理员常用密码
ctfshow{d5c1e33e-783d-43e4-a38c-c5c60398870a}
web13:
技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码
F12查看源代码找到了一个pdf下载下来得到账号密码登入即可。
ctfshow{afe09a55-9452-4373-9583-074b1f441d1b}
web14:
有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人
根据提示直接在url后面加editor 上传flag000g.txt文件然后访问即可(这题挺好玩的)
ctfshow{065c5b31-c650-405f-b946-792ebb342e36}
web15:
公开的信息比如邮箱,可能造成信息泄露,产生严重后果
ctfshow{bf660ad3-6a42-4db7-9470-0e0b9805e314}
web16:
对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露
ctfshow{abe47f9e-3bf8-45ba-9293-697f33fa5a05}
web17:
备份的sql文件会泄露敏感信息
直接访问backup.sql 下载后打开即可。
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
864
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
