源码泄露(bugku备份是个好习惯)

最新推荐文章于 2024-04-27 09:50:58 发布
最新推荐文章于 2024-04-27 09:50:58 发布
阅读量383 收藏
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/99243546
版权

按照题目 备份是个好习惯,是让我们寻找 .bak文件的,也就是说

存在某个文件的.bak文件可以访问,那就试试 http://120.24.86.145:8002/web16/index.php.bak ,确实有点让新手小白有点难以接受,这里想推荐一航大佬的一款源码泄露工具,可以自动访问常见的CTF线索文件,如果返回正常说明文件存在。

下载地址 https://coding.net/u/yihangwang/p/SourceLeakHacker/git

得到代码

include_once “flag.php”;
ini_set(“display_errors”, 0);
$str = strstr($_SERVER[REQUEST_URI],?);
$str = substr($str,1);
$str = str_replace(‘key’,,$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag.”取得flag”;
}
?>

绕过md5
1、md5()函数无法处理数组
2、利用==比较漏洞

	    QNKCDZO
		240610708
		s878926199a
		s155964671a
		s214587387a
		s214587387a
HyyMbb
关注
专栏目录
bugku-源代码
m0_62094846的博客
10-24 683
点开后,要查看源代码 猜测可能要输入的是flag,submit,Submit其中一个,但输入三个后都是显示“再好好看看” 然后,发现这样一串代码,猜测可以用url解密,得到下列解密信息 onsubmit=checkSubmit;'; eval(unescape(p1) + unescape('54aa2' + p2)); 由此看出,将两者连起来就能出现答案 67d709b2b54aa2aa648cf6e87a7114f1 但提交时仍然报错 再看题...
BugKu_源代码
Kobalos的博客
08-06 823
访问目标地址,发现一个输入框,还有一个让查看源代码的提示 跟着提示走,右键查看源代码 可以看到9、10行是url编码后的代码,猜测这里就是解题的关键 复制下来,进行解密试试 注:http://tool.chinaz.com/tools/urlencode.aspx 根据源码中的逻辑提示进行拼接 将解密后的代码拼接好之后进行美化,方便查看 注:https://beautifier.io/ 根据代码,将if后的字符串写到题中的输入框里面,成功得到flag! ...
Bugku:看看源码
foreverzwl
10-22 1084
    根据提示查看了源码,将p1、p2内容拿去url解码 得到变量p1、p2的内容: var p1 = 'function checkSubmit(){var a=document.getElementById("password");if("undefined"!=typeof a){if("67d709b2b' var p2 = 'aa648cf6e87a7114f1"==a.value)...
Bugku-CTF之看看源代码吧
weixin_34015860的博客
04-20 707
Day13 看看源代码吧 http://123.206.87.240:8002/web4/ 本题要点:url解码 首先看到文本框,我们还是要习惯性输入一下 emmm,啥也没有 那就看看源码吧~ 两串很长的url编码 拿去解密 解密网站:http://tool.chinaz.com/tools/urlencode.aspx ...
记一道.git源码泄露
weixin_30849591的博客
04-18 200
记录一道今天做的.git源码泄露题 看到url有可能会有文件包含,尝试一下 应该是有什么被BAN了,这时候也没有什么更好的思路了 用御剑扫一扫后台,看看有没有备份文件或者.git文件什么的 果然扫描以后发现了.git目录 这时候就用到GitHack了https://github.com/lijiejie/GitHack 使用后发现了 我们访问文件夹里的flag.php 可是...
github工具_自己动手打造Github代码泄露监控工具
weixin_39703468的博客
11-29 338
作者:ztencmcp来源:https://www.freebuf.com/articles/web/173479.html0×00 背景众说周知,Github这块肥肉很受安全人员和黑客关注。因为很多新进程序猿和老手不经意就会把他们的劳动成果分享出来,而往往这种开源精神,奉献精神会对企业带来一定的安全风险。例如代码里面包含各种敏感信息(用户名、密码、数据库信息、内网IP,甚至程序猿的身高、体重、年...
一款多线程站点目录扫描工具
slash_HK的博客
01-24 3739
一款开源好用的站点目录扫描工具 一. 项目地址 https://github.com/WangYihang/SourceLeakHacker 关于网站目录扫描的工具,之前接触了非常多,例如kali自带的dirb,dirsearch,以及7kbscan等等,今天在逛github的时候偶然间发现了这款站点目录扫描工具,因此做一个记载。 首先我们将其下载部署到本地 git clone https://github.com/WangYihang/SourceLeakHacker 进入到下载的SourceLea
探索源码泄露防护利器:SourceLeakHacker
最新发布
gitblog_00022的博客
04-27 395
探索源码泄露防护利器:SourceLeakHacker 去发现同类优质开源项目:https://gitcode.com/ 项目简介 在数字化日益深入的时代,源代码安全的重要性不言而喻。 是一个由王一航开发的开源项目,旨在帮助开发者检测和预防源码泄露风险。通过自动化扫描和智能分析,SourceLeakHacker 可以有效识别那些可能被意外公开或泄漏的敏感信息,为您的代码库加上一道安全屏障。 技术分...
How to web 1 观后笔记
cc菜的一批
11-28 237
DVWA: http://www.dvwa.co.uk sqlilab: https://github.com/Audi-1/sqli-labs xss-game: https://xss-game.appspot.com/ 工具:hackbar 拓展工具 Burpsuite Python requests sqlmap dirsearch SourceLeakHacker githack Bur...
ctf/web源码泄露及利用办法【总结中】
热门推荐
Sp4rkW的博客
10-06 2万+
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用:工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因:在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等...
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
SourceLeakHackerForWindows.py
04-24
下载后直接在命令行使用,文件后+http:\\网站的名字,即可发生检索,对于子网站和目标的探查都有很大的帮助
【python】扫描备份文件以及源码泄露
浪子燕青的博客
04-25 5130
设计初衷    灵感来自于某个小哥在群里闲聊的时候,谈及自己一起提交过一个知名网站分站的源码泄露,并且收益不菲,我当时一愣,没想到源码泄露这个漏洞还能赚不少积分,于是研究一番后,决定写一个专门扫描网站重点敏感信息泄漏的软件,这个软件的功能包括这三点。 扫描备份文件 扫描SVN/GIT源码泄漏 扫描WEBINFO页面信息泄漏     虽然只是三点简单的功能,但是拆开后来说,涉及到的知识点有点杂。所以写
Bugku web40 git信息泄露漏洞
qq_33522311的博客
06-12 280
一、做题 1、打开
CTF中常见Web源码泄露总结
weixin_30491641的博客
01-30 762
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用...
linux 常见目录页作用
lijie19870626的博客
04-25 186
bugku web方向所有题解
kekefen01的博客
04-18 3164
第一题F12,第二题打开js文件,第三题 get参数 第四题转换成post请求最后空一行加入what=flag 注意最后不能加回车,不然会把what的值认为是"flag\n" 可以转换post加入参数,再转成get再转换成post 第五题php弱类型 num=1df 随便什么,反正$num==1都能通过 $num=$_GET['num']; if(!is_numeric($num)) { ech...
挺带劲,这款国人开源的监控系统功能真强大~
Java笔记虾
10-01 932
来源:小黄鸭编程社区项目简介集监控点监控、日志监控、数据可视化以及监控告警为一体的国产开源监控系统,直接部署即可使用。监控数据类型丰富,提供多种富有表现力的图表,满足对数据可视化的需...
CTF Bugku 备份是个好习惯
lived的博客
05-26 346
CTF Bugku 备份是个好习惯 [题目链接](http://123.206.87.240:8002/web16/) d41d8cd98f00b204e9800998ecf8427ed41d8cd98f00b204e9800998ecf8427e 首先进入页面发现如上字符串,刚开始试了各种decode,发现没有效果;之后就看了writeup(毕竟刚开始),根据大佬的说法,从题目下手‘备份’,仔...
自动备份手游模拟器的按键精灵源码实现
以上知识点涵盖了按键精灵源码、自动精灵源码备份系统组件、实例手游备份、模拟器在备份测试中的应用以及压缩包子文件在备份过程中的作用等多个方面,它们共同构成了一个自动备份系统的核心组成部分,对于理解和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值