信息搜集小结

最新推荐文章于 2024-07-25 08:32:20 发布
最新推荐文章于 2024-07-25 08:32:20 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: web安全小结 文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ashMOB/article/details/121022096
版权

信息搜集小结

信息搜集在渗透测试中占有重要的内容,一个安全系统最薄弱的地方是人的存在,在搜集信息时不仅要搜集该系统有关的信息,有时也需要收集该系统有关的人的信息。

CTF比赛中常见的信息泄露

  1. f12源代码。

  2. 数据包,数据包中可能存在有关各种变量名的泄露,以及一些可能的文件包含漏洞信息。

  3. phps源码泄露,直接访问文件名.phps能看到,phps文件就是php的源代码文件,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。

  4. git泄露,一般采取githack或者gitextract(较新)直接获取源码。

  5. svn泄露,类似于git泄露,也是一个版本控制泄露

  6. swap文件泄露,vim未保存成功时会在当前目录生成一个swap文件,形式类似于index.php.swp,访问下载用vim打开即可获取源码

  7. robots.txt,可能会泄露网站结构

  8. 网站编辑器(editer)漏洞泄露导致目录遍历泄露信息。

  9. php探针未删除导致信息泄露,PHP探针php探针是用来探测空间、服务器运行状况和PHP信息用的,探针可以实时查看服务器硬盘资源、内存占用、网卡 流量、系统负载、服务器时间等信息。

  10. mdb文件泄露,mdb文件是早期asp+access构架的数据库文件

最低0.47元/天 解锁文章
AshMOB
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【CTF Web】CTFShow 数据库恶意下载 Writeup(目录扫描+mdb文件泄露+Access脱库)
HEX9CF的技术博客
06-14 391
10mdb文件是早期asp+access构架的数据库文件文件泄露相当于数据库被脱裤了。
【Ctfer训练计划】——(四)
热门推荐
Demo不是emo的博客
12-24 1万+
ctf每日训练计划
ctfshow-web入门——信息收集(web1-web20)
m0_62905745的博客
04-14 596
ctfshow,web入门信息收集——(web1-web20),自行记录的信息收集板块的题目wp和相关知识点笔记,有错误希望大家指正,一起进步!
CTF中常见信息搜集学习总结
i8o6o6的博客
11-28 4669
信息搜集的必要性:在线上解题时,信息搜集可以帮助我们建立解题思路,发现解题方向。 0.题目描述 其实最主要的还是题目描述里的信息,不然没法做题,用心读题才能把题做好。 1.页面源代码 这个就不用多说了,现在基本上打开题目就是习惯性地按F12,抓包看源码。 源码里面可能会发现一些JS脚本代码、注释掉的标签信息、在图片标签的src属性里可能会发现网站后台的路径等等。 2.敏感文件泄露 ①robots.txt 当我们在搜索引擎上打上内容点击搜索的时候,搜索引擎靠一个叫robot的程序.
渗透测试中源码泄露分类整理
等风来
10-12 2533
源码泄露整理 1.备份文件泄露: 有些站点的管理员将源码备份成压缩包的格式,却放在了Web目录下,攻击者访问该压缩包的时候就会下载该压缩包。 PS:常见后缀 : .zip .rar .tar.gz .7z 2.SVN源代码泄露 (1)漏洞成因 ​ 管理员对SVN的机制不熟悉,直接将SVN检出到本地的web目录下,而忘记删除.svn目录(文件的类型及内容存放目录),从而导致攻击者拿到站点的源代码...
正则表达式小结
10-20
本文是小编给大家收集整理的关于正则表达式小结,非常不错,具有参考借鉴价值,需要的朋友一起看看吧
问卷调查方法使用小结
03-02
问卷调查(questionnaire)是用户研究或市场研究中非常常用的一种方法,这种方法可在短期内收集大量回复,而且借助网络传播调研成本也比较低,所以得到广泛的使用,但是似乎有些人认为问卷调查就是设计若干问题然后...
C#播放背景音乐的方法小结
01-01
特此收集了一些网上的教程: 1、调用非托管的dll using System.Runtime.InteropServices; //DllImport命名空间的引用 class test //提示音 { [DllImport(winmm.dll)] public static extern bool PlaySound(String...
常用Linux发行版镜像源配置小结
01-09
所以我这里干脆做了一个收集,把我用过的一些常用发行版的软件源设置方法做个总结,大家也可以做个参考。 Ubuntu 18.04 18.04是目前Ubuntu最新的长期支持版。当然我非常期待4月份推出的20.04长期支持版,支持...
WEB ---- ctfshow ----- 信息收集
L0g1c的博客
06-24 468
考点是robots.txt文件、考点phps文件泄露、考察代码泄露、考察git代码泄露、考察信息svn泄露、考察vim缓存信息泄露、邮箱泄露、考察PHP探针、sql文件泄露信息第一题提示开发注释未及时删除 打开题目 没有什么按钮和输入框,直接查看源码,发现html注释中含有flag。 由于js前台拦截,无法右键,和按F12可以手动在URL前面加入还有其他方法:打开浏览器的应用程序菜单知道快捷键就不需要进行查找了方法一:通过快捷键 查看源码方法二:通过快捷键 查看源码方法三:开发者工具中 网络,响应中也可以
九种防MDB数据库被下载的方法
dragonbbc的专栏
08-14 1689
篇首语:原来改mdb为asp就能防下载是鬼话。用Flashget试验下载data.asp文件,并另存为data.mdb文件,发现用ACCESS打开完好无损!1.发挥你的想象力 修改数据库文件名 但是若攻击者通过第三方途径获得了数据库的路径,就可以下载数据库。故保密性为最低。 2.数据库名后缀改为ASA、ASP等此法须配合一些要进行一些设置,否则就会出现本文开头的那种情况 (1)二进制字段添
如何获得cnvd原创漏洞证书之信息泄露篇(结尾福利)
weixin_50464560的博客
06-19 5014
一、前言 做任何事情,付出就要有回报,这样才会有动力。而对于挖漏洞这件事情,回报其实就是获得证书和奖金了。今天我就来讲讲如何获得证书。发现很多师傅对cnvd证书的挖掘缺乏思路,明明已经学了很多知识,但却苦无思路。看着一些大佬整天貌似不费吹灰之力便得到很多证书,除了羡慕,还是羡慕。作为一个过来人,我这次就来讲述一下我拿到第一张cnvd原创漏洞证书的过程。首先先声明一下,由于本人技术有限,可能不能很好的诠释,希望各位师傅看了轻喷,谢谢观看。 二、通用型漏洞 首先最开始我是不了解事件型漏洞跟通用型漏洞的区别,所以
九种防MDB数据库被下载的方法(转)
hyde82的专栏
08-18 1446
来源:www.hf110.com  “来源:希赛网”。 篇首语:原来改mdb为asp就能防下载是鬼话。     引子:昨天和animator试验了一下,把data.mdb文件改名为data.asp文件后放在wwwroot目录里。然后在IE中输入data.asp路径后,发现IE显示一片空白,右键->察看源文件,跳出记事本,将内容另存为.mdb文件,用ACCESS打开,发现需要密码,也就是说至少文件
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 813
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
防火墙--内容安全
banliyaoguai的博客
07-20 1250
内容安全是指对互联网上的内容进行监测、筛选和管理,以确保用户在浏览、使用互联网内容时的安全和合法性。各个厂商在进行内容安全的检测、分析和处理的过程被称为引擎。下面以华为IAE引擎来对内容安全进行学习ID:区分不同的签名对象:服务器,客户端。一般我们将发起连接的设备角色认定为客户端,响应连接并提供服务的角色认定为服务器。严重性:该行为一旦爆发之后,对我们网络系统的影响程度的评级协议/应用程序:这种攻击所承载的协议或者应用。
气膜建筑的逃生通道设计与安全保障—轻空间
最新发布
Skansi的博客
07-25 296
确保这类建筑的安全性,尤其是逃生通道的设计,是保障人员生命安全的关键。通过合理设计逃生通道、加强日常维护和应急演练,可以有效提升气膜建筑的安全性,保障人员的生命安全。定期组织应急疏散演练,提高人员逃生意识和技能,确保紧急情况下有序撤离。根据建筑面积和使用人数设计足够的逃生通道,确保人员能够迅速疏散。逃生通道应有清晰的标识和足够的照明,确保在紧急情况下易于找到。材料和结构应具备良好的防火性能,确保通道畅通无阻。逃生通道的宽度和高度应满足疏散需求,避免拥堵。安装应急照明设备和紧急广播系统,引导人员撤离。
机器学习线性回归实验小结
03-12
下面是一个机器学习线性回归实验的小结: 在机器学习线性回归实验中,我们首先收集了一组带有标签的训练数据,其中包含了输入特征和对应的输出变量。然后,我们使用线性回归算法来拟合这些数据,找到最佳的线性模型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值