CTFSHOW敏感信息泄露20道题WP

1.源码泄露

F12查看网页源码得到Flag

2.前台JS绕过

无法通过F12或右键查看网页源码，尝试通过Ctrl+U，成功打开源码得到Flag

3.协议头信息泄露

打开开发者工具查看数据包信息，得到flag

4. robots后台泄露

Dirsearch扫描网站目录，发现robots.txt

打开后提供了flag的地址

拼接以后得到flag

5. phps源码泄露

通过题目提示，对php类型的文件进行扫描（php,phps）

发现目录文件index.phps

打开后得到flag

6. 源码压缩包泄露

根据题目提示对网站目录进行扫描（压缩包类文件）

找到一个名为www.zip的文件，对其进行拼接提取出压缩包

打开分析文件

将fl000g.txt拼接到网页后，得到flag

7. 版本控制泄露源码

根据题目提示对网站版本控制系统进行扫描

得到对应目录

拿到flag

8. 版本控制泄露源码2

同样的根据提示查找版本控制系统目录

拼接网址后得到结果

9. vim临时文件泄露

Vim临时文件了解

根据提示查找.swp文件

找到相关文件

拼接后拿到文件，flag包含在文件中

10. cookie泄露

根据题目提示找到网站cookie，flag就在其中

11. 域名txt记录泄露

12. 敏感信息公布

根据题目提示，查找网站暴露信息

尝试对网站进行管理员拼接，进入登陆页面

Username=admin&&password=372619038

得到flag

13. 内部技术文档泄露

根据题目提示，查找网站技术文档

发现管理页面以及管理账号和默认密码，尝试登陆拿到flag

14. 编辑器配置不当

根据题目提示，查看网页源码，找到editor/upload，说明可能存在上传接口，进行editor拼接进入编辑器

打开上传图片的链接进入网站源码

经过查找发现疑似flag文件，对网站拼接进行访问

得到flag

15. 密码逻辑脆弱

根据题目信息，收集其敏感信息

利用敏感信息制作字典

通过拼接进入后台登陆系统，尝试admin用户

提示密码错误

点击忘记密码，出现密保问题

根据邮箱信息查询管理员信息

密码被重置

登陆后得到flag

16. 探针泄露

对探针进行了解

拼接目录tz.php，进入探针页面

打开phpinfo，找到flag

17.CDN穿透

17题没看懂，结果似乎已经给出来了

自己查到的IP  124.222.110.176

18. js敏感信息泄露

根据题目信息，查看网页JS文件，发现疑似通关代码

提取之后进行Unicode解码，给出flag地址

19.前端密钥泄露

查看网页源码发现其加密后的密码

直接抓包改包

返回flag

20. 数据库恶意下载

根据提示，使用dirsearch搜索mdb文件

第一遍出现db目录，但页面丢失

根据扫出来的目录再次扫描，发现mdb文件

将文件下载并打开，找到flag