CTFHUB-WEB-信息泄露

已于 2022-06-14 16:34:55 修改
阅读量497 收藏
点赞数
文章标签: 安全
于 2022-06-12 23:55:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/K_ShenH/article/details/125245763
版权

目录

1.目录遍历

2.PHPINFO

3. 备份文件下载

3.1 网站源码

3.2 bak文件

 3.3 vim备份

3.4 .DS_Store

4.Git泄露 

4.1 LOG

​编辑

​编辑  4.2 stash

​编辑 4.3  Index

 5.SVN泄露(因虚拟机原因待更新)

 6.HG泄露(因虚拟机原因待更新)

1.目录遍历

进入靶场环境之后,点击开始寻找flag后可以看到里面有不同的目录列表,只要一个一个列表看过去就可以找到flag文件,这中途可以看到url在变化,目录遍历就是说在知晓文件结构的情况下由于配置错误或权限限制不严格等造成了可以根据文件夹格式进行访问信息的漏洞。

2.PHPINFO

进入靶场环境点击查看PHPINFO就会出现php的完整配置信息,在其中ctrl+F搜索ctfhub找到flag。

3. 备份文件下载

3.1 网站源码

这一关给出了常见的网站源码备份文件名和网页源码备份文件名后缀,我们需要将其进行排列组合,简单来说就是一个一个组合起来尝试看哪一个文件存在且可访问,将其下载,其中就有flag文件。

可以直接在url中进行输入,挨个尝试,但是尝试的次数太多比较麻烦,上网查询后可以通过编写python脚本代替手动注入。

可以看到存在www.zip文件,在url中访问。

 在url中访问第二个文件得到flag。

3.2 bak文件

进入靶场看到一行提示,尝试直接在url中访问index.php没有变化,尝试使用dirsearch工具扫描。

最低0.47元/天 解锁文章
Lydia_Ha
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【漏洞挖掘】——59、Git信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1134
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除直接发布到服务器上攻击者就可以通过它来恢复源代码。
.git文件泄露的一次渗透darkhole2
tpaer的博客
10-03 1134
这是一个困难难度的靶场,通过不小心泄露的.git文件收集信息,再利用漏洞脱库登录,最后利用rce漏洞进行提权。也可以用通用来打。
git源代码泄露
qq_53099802的博客
05-27 3399
git泄露和php的assert漏洞
Git泄露_Log
Mr_admin的博客
09-23 1992
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
CTFHUBWeb安全信息泄露
Lucky小小吴的小屋
10-24 3069
本模块有十道题 目录遍历 phpinfo 备份文件下载(4道) 网站源码 bak文件 vim缓存 .DS_Store Git泄露 SVN泄露 HG泄露
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
7. **代码审查**:对源代码进行深入分析,查找潜在的安全弱点,如未过滤的输入、硬编码密码和敏感信息泄漏。 8. **XSS(跨站脚本攻击)**:攻击者可能利用XSS漏洞向其他用户注入恶意脚本。学习如何使用`...
git源码泄露漏洞总结
热门推荐
王嘟嘟的博客
03-30 1万+
0x00 前言 这里对.git源码进行一个总结 0x01 .git文件夹分析 0x02 .git文件夹利用原理 0x03 githack脚本简单分析 0x04 .git源码泄露扫描 0x05 .git源码泄露实例
ctf实战 掌控安全靶场 第七关通关记录
wh1te 小白的博客
09-27 945
 题目  远程连接设置可以上传本机文件 在本地设备与资源中选择详细信息 将要上传的工具的驱动器勾选上,可以选择u盘   把mimikatz上传至虚拟机  privilege::debug 提升权限   sekurlsa::logonpasswords 抓取密码   得到最后的flag   通关    ...
git信息泄露漏洞
jelly
07-27 9400
git泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 Git介绍 Git作为大家熟悉的,深受欢迎的版本控制工具,和其他同类工具有很多不同之处: Git始终保存快照而不是文件差异。 任何数据存储前始终使用SHA-1计算校验和,保证内容完整性。 使用分布式仓库设计,让大多数
.git 泄露
weixin_34409741的博客
11-19 705
等待笔记。。。 转载于:https://www.cnblogs.com/AardWolf/p/9986536.html
Git泄露
weixin_53150482的博客
07-17 1373
Git泄露
git代码泄露漏洞修复 与 git代码爬取工具
Daioo 随笔
02-27 3410
前言 一声电话响~网站被报告漏洞!!漏洞报告显示:url漏洞;查了之后发现是我的网站配置下并没有屏蔽隐藏文件夹例如.git等文件夹的访问,甚至可以直接下载隐藏文件夹的内容。然后愉快的解决并有了下文。 解决办法 1.删除.git目录 2.修改Web站点配置文件 对于方案2,我以Nginx服务器举例子,在server{}段内增加如下代码即可 location ~ /\. { deny all; ...
开源漏洞靶场环境-Vulhhub
煮酒闲谈
12-22 8624
0x 前言分享一个开源漏洞靶场环境Vulhhub Vulhub - Some Docker-Compose files for vulnerabilities environmentVulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。0x1 Installation项目地址: https://github.com/Cherishao/
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值