CTF之web学习记录 -- 网站信息搜集

最新推荐文章于 2024-05-13 09:10:34 发布
最新推荐文章于 2024-05-13 09:10:34 发布
阅读量638 收藏
点赞数
分类专栏: 网络安全 ctf web 文章标签: 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A951860555/article/details/118528829
版权

网站信息搜集

概述

  我个人自学web已经有了一段时间了,但总感觉少了些什么,从做题角度上来讲,遇到的web题要么是直接给了源码需要审计的,要么是会给足够的提示,让你知道是考察注入还是文件上传等。那么如果不给源码,不给提示呢,我们面对一个功能众多的网站该如何下手?此时就需要这一章的内容,我愿称其为web学习中灵魂的章节。
  接下来我将根据做题的积累,介绍下ctf中常用的一些信息搜集思路和工具。

dirsearch

  dirsearch
  dirsearch是一个web网站隐藏目录扫描工具,一般对于没有任何提示的web题,都可以用其扫一扫,然后可以发现隐藏的网站源码压缩文件夹目录,或者robots.txtphpmyadmin/index.php.git等目录是存在且可以访问的。
  下面介绍其用法,扫描时就会显示对应目录文件的http code,一般为200的是我们的主要关注对象,扫描完后的结果保存在当前目录下的reports文件夹中。

# -u 指定扫描的url
# -x 排除某些状态码
python3 dirsearch.py -u http://www.example.com -x 429

GitHack

  

最低0.47元/天 解锁文章
__lifanxin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全 | CTFCTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 4579
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
CTF零基础--手把手带你如何下载调用dirsearch工具
06-12 3914
dirsearch是比较实用的扫描渗透工具,作为刚接触的小白来说,不知道从何开始,甚至怎么安装或者调用都不知从何入手,这里通过百度下载工具包并如何调用,以图文形式一步一步带小白们实操,希望有所帮助。......
CTF-Web渗透(入门|笔记|工具)
小谢的博客
01-01 2507
CTF-Web渗透(入门|笔记|工具)主要是记录自己之前学习web渗透的笔记以及工具的分享,可能不全
CTF学习信息搜集
DMHY123的博客
09-25 831
CTF基础信息搜集
[网络安全 CTF] BUUCTF极客大挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)_[极客大挑战 2019]php
最新发布
2401_84971538的博客
05-13 392
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
CTF 题目信息收集
Senimo
03-28 1787
CTF 题目信息收集信息收集分类敏感目录泄露git泄露 信息收集 在线上CTF比赛Web类题目中,信息收集涵盖的面非常广,同时非常重要。 分类 敏感目录泄露 通过泄露的敏感目录,可以获取网站的源代码和敏感的URL地址,如后台地址等。 git泄露 漏洞简介: git是一个主流的分布式版本控制系统,在开发过程中,可能会遗忘.git文件夹。从而导致提交过的所有代码被泄露。 漏洞危害: 若文件中包含有敏感信息,如站点源码、数据库账户密码等,攻击者可直接控制服务器。 .git文件夹分析: // 文件夹 hook
CTF工具使用汇总
qq_47804678的博客
12-20 4508
做题很多的时候都会用到工具,我现在也来简单汇总一下我现在用到过的工具,很多都可以在github或者CTFHUB上直接下载到。
CTFweb学习记录 -- 文件包含
lifanxin的博客
05-11 1万+
文件包含概述常见文件包含函数和原理本地文件包含远程文件包含总结 概述   后端编程人员一般会把重复使用的函数写到单个文件中,需要使用时再直接调用此文件即可,因此该过程也就被称为文件包含。文件包含的存在使得开发变得更加灵活和方便,但同时也带了安全问题,导致客户端可以远程调用文件,造成文件包含漏洞。这个漏洞在php中十分常见,其他语言也有。 常见文件包含函数和原理 # php include() // 执行到include时才包含文件,找不到文件产生警告,脚本继续执行 require() // 程序运行就
CTF-Write-up:CTF撰写和信息
03-21
3. **信息收集**:描述如何收集关于挑战的关键信息,这可能包括从题目描述中提取线索,或者使用网络扫描工具如Nmap发现服务端口和开放端口。 4. **漏洞分析**:详细解释发现的漏洞类型及其原理,例如SQL注入、XSS跨...
Incognito-2.0-CTF-Write-Ups
04-19
【标题】"Incognito-2.0-CTF-Write-Ups" 是一个关于网络安全竞赛(Capture The Flag,简称CTF)的总结文档,其中详细记录了某位参赛者或团队在参与“Incognito 2.0”挑战时的经验、策略和解题过程。CTF是一种流行的...
tryhackme-writeups:我对TryHackMe机器的笔记
03-08
通过这些笔记,你可以了解到如何一步步攻破这些虚拟机,学习CTF(Capture The Flag)比赛中的技巧和策略。” 【标签】: - "ctf-writeups":CTF比赛的总结和分析,通常包括解题思路、解决方案和经验分享。 - "ctf...
ctf-writeups:CTF 报道
07-23
CTF 报道】是关于网络安全竞赛——Capture The Flag(CTF)的详细记录和分析。CTF 是一种流行的信息安全竞赛形式,参赛者通过解谜、逆向工程、密码学、网络攻防等技能争夺分数。在这个压缩包文件"ctf-writeups-...
ctf-platform:IceCTF的平台
05-13
总之,IceCTF平台是一个利用Python技术构建的CTF比赛管理系统,旨在提供一个安全、互动的学习环境,让参与者能够在实践中提升信息安全技能。通过探索其源代码,开发者和安全爱好者可以更好地理解如何构建类似平台,...
CTF工具】网址扫描器dirsearch下载安装与使用(linux下)
Mitchell_Donovan的博客
04-26 3968
dirsearch是一个python开发的目录扫描工具 和我们平时使用的dirb、御剑之类的工具一样,就是为了扫描网站的敏感文件和目录从而找到突破口 Linux下的使用教程如下: 下载安装 打开linux终端输入以下代码???? git clone https://github.com/maurosoria/dirsearch.git 使用说明 在终端中打开dirsearch文件夹???? cd dirsearch/ 输入下列命令开始网址扫描???? ./dirsearch.
CTF|工具使用|dirsearch 命令
PengXing_Huang的博客
10-31 153
dirsearch 命令
CTFWeb题目的各种基础的思路-----入门篇十分的详细
热门推荐
m0_64815693的博客
09-13 2万+
学习CTF-web这里给你一个思路,给你一个方向
网络安全学习笔记-CTF信息收集
qq_27565603的博客
05-18 1172
CTF信息泄露 当我们访问web页面时,常常会出现相关的个人信息,比如邮箱、电话、地址等等。在CTF的比赛中,出题人可能会故意留给我们一些重要信息,多见于cookie、源代码、请求头、响应头中。 CTF文件泄露 扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 常见扫描器—Dirsearch:dirsearch是一个py
CTFshow web入门之信息收集(web1-web20)
小白的博客
05-10 658
得到一个IP地址或网址时第一步:查看源码第二步:网页上查找是否有有效信息第三步:查看是否存在说明文件rotobs.txt第四步:通过御剑或dirsearch扫描探测是否存在其它页面第五步:按照网页的框架信息查看是否存在测试文件或备份文件。
ctf web 思维导图
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括:注入漏洞(如SQL注入、命令注入)、跨站脚本漏洞(XSS)、跨站请求伪造漏洞(CSRF)、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当,攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。 漏洞利用技术主要包括:代码注入(如SQL注入、远程命令执行)、会话劫持与干扰(如会话劫持、会话劫持预防、会话干扰攻击)、文件包含与遍历、信息泄露利用(如敏感信息泄露、漏洞利用)、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。 解题方法主要包括:寻找目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析、Webshell的利用与部署、绕过访问控制(如绕过IP限制、用户认证绕过)、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。 综上所述,CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞,从而在CTF比赛中取得优异的成绩。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值