信息收集-查看源代码三操作&查看约定成俗的文件

1、查看源码三操作重现过程

注意：测试靶场如：https://jupiter.challenges.picoctf.org/problem/41511/

1、火狐浏览器访问该靶场，F12--》查看器，可以查看html页面内容，发现如下flag。

2、火狐浏览器访问该靶场，F12--》样式编辑器，可以查看css页面内容，发现如下flag。

3、火狐浏览器访问该靶场，F12--》调试器，可以查看js代码内容，发现如下flag。

2、查看约定成俗的文件

注意：测试靶场如：http://mercury.picoctf.net:27278/

约定成俗的文件如robots.txt【爬虫是否允许爬取的目录说明】、

.htaccess【网站页面访问安全配置、访问权限设置】、

.DS_Store【Mac电脑的隐藏文件，记录一些文件夹图标位置、文件排序方式等，常用于收集文件及文件夹位置、命名约定规则】。

1、经过如上查看源码三操作可以收集到的flag如下：

<!-- Here's the first part of the flag: picoCTF{t -->
/* CSS makes the page look nice, and yes, it also has part of the flag. Here's part 2: h4ts_4_l0 */
/* How can I keep Google from indexing my website? */

2、浏览器访问：http://mercury.picoctf.net:27278/rebots.txt，收集到如下flag。

 3、浏览器访问：http://mercury.picoctf.net:27278/.htaccess，收集到如下flag。

 4、浏览器访问：http://mercury.picoctf.net:27278/.DS_Store，收集到如下flag。

注意：.DS_Store中的大小写是有区分的。

3、一些常用的约定成俗文件

访问网站url后面直接追加如下约定的文件。

---

/tz.php【对容器执行定期检测，对于测试用的探针，使用完毕后要及时删除】探针--》PHPINFO
/index.phps【php源码泄露-开发调试代码后未删除引起的】phps是一种文件类型(如txt)，phps是指php的源代码文件，通常用于提供给用户或访问者查看php代码，他的MIME类型为：text/html,application/x-httpd-php-souce,application/x-httpd-hph3-souce
/www.zip【开发部署后没有删除程序压缩包，同理如ROOT.zip、root.zip】也可以使用dirsearch -u url -e*扫描网站下有什么文件，尝试看能否下载下来
/.git 或 /.svn 【版本泄露，更新代码时将版本控制信息部署到了生产环境，若git或svn外网可访问，可能下载源码】
/index.php.swp【vim临时文件，当vim非正常关闭时，被破坏的文件名后面追加.swp，如index.php.swp】
/editor【富文本框（editor）配置不当导致目录泄露（f12查看源码，含有editor），富文本框插入文件，显示了服务器的文件目录，尝试网页上直接访问文件】
/db/db.mdb【被脱裤了，早先asp+access架构部署的网站，数据库文件为db.mdb，/db/db.mdb即可将数据库文件下载到本地】

---

4、一些其他常见的敏感信息泄露

---

cookie中的Set-Cookie有可能泄露敏感信息
域名txt记录泄露【DNS查询工具如：http://www.jsons.cn/nslookup/，查看txt记录——域名对应的文本信息（如备注）】
网站上邮箱、电话可能是后台管理员密码（如url/admin  ，用户名密码为：admin/公司电话，或忘记密码验证时的问题答案）
技术文档泄密，生产环境的技术文档（手册），内容里面有后台访问地址及账号密码
js泄密，F12查看js时有可能出现Unicode编码，可能隐藏敏感信息
源码泄密，F12查看网页源码时，看到注释掉的  用户名及密码（密码可能经过算法加密是一串数据），直接抓包改为这里的用户名及这串数据，登录成功

---

5、js限制

浏览器F12时，没什么反应，或者浏览器右击，“查看网页源代码”，没什么反应时，可以按Ctrl+u组合键或Ctrl+Shift+i组合键，直接打开查看网页源代码，这时浏览器地址显示为view-source:访问的url，如下图所示：

 

也可以禁用浏览器js后再查看：

【火狐浏览器】网址处输入about:config ，接受后，搜索javascript，找到 javascript:enabled，切换为false 】。
【谷歌浏览器】设置--》最下方的“高级”--》“内容设置”--》点击开关即可禁用或开启js。

常用于浏览器复制页面内容时，前端验证，关闭后即可复制，但复制结束后，需要重新启用js。

6、一些Web安全练习靶场或工具

1、工具Yakit，安装方法：download_and_install | Yak Program Language

2、ctf竞赛靶场：CTFHub、
ctf.show、https://play.picoctf.org/login?

7、 .htaccess和.user.ini文件的利用

可以本地编辑.htaccess文件，内容如下：

<FilesMatch "jpg">  
SetHandler application/x-httpd-php
</FilesMatch>
//大体意思是设置当前目录所有带jpg的文件名都使用php解析，
//那么无论上传任何文件，只要符合php语言代码规范，就会被当做PHP执行。不符合规则，则报错

可以本地编辑.user.ini文件，内容如下：

auto_prepend_file=shell.jpg
//意思就是当前目录中的php文件的页头会自动去包含shell.jpg中的文件内容

auto_append_file=shell.jpg  //是页尾包含

页面存在文件上传功能时，可以将这两个文件上传到服务器，然后再上传图片码（期间可能使用抓包工具burp，调整MIMI类型）。