CTFHub Web 信息泄露题目 HG泄露

最新推荐文章于 2024-06-07 21:36:31 发布
最新推荐文章于 2024-06-07 21:36:31 发布
阅读量614 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bailuy/article/details/108527891
版权

CTFHub Web 信息泄露题目 HG泄露

HG泄露

在这里插入图片描述

let's go!


本题需要使用dvcs-ripper工具进行处理,使用命令 
./rip-hg.pl -v -u http://challenge-XXX.sandbox.ctfhub.com:10080/.hg/

在这里插入图片描述

可以看到许多文件没有拿到,我们使用ls -al命令查看一下

在这里插入图片描述

可以看到有一个.hg文件,我们进入一下,并在里面再次查看

在这里插入图片描述

看到一个store文件,我们进入并查看

在这里插入图片描述

可以看到有一个fncache文件,我们进去看看

在这里插入图片描述

可以看到flag文件,但此时我们无法cat到它,根据题目提示,我们需要手动获取
可以直接用浏览器访问,或者用curl访问

在这里插入图片描述

直接拿到flag

在这里插入图片描述

Good Game!
百鹿原
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
CTF信息泄漏.pdf
02-11
如果项目中包含了`.svn`目录,并且该目录可以被未经授权的用户访问,则可能导致敏感信息泄露。 **工具推荐**: - **dvcs-ripper**:同样适用于SVN的源码泄漏提取。 - **Seay-Svn**:一款专注于SVN源码泄漏的工具。 ...
CTFHub | HG泄露
尼泊罗河伯的博客
10-17 2968
这题与之前的题目比较类似,同样使用 dvcs-ripper 工具下载泄露的网站目录,但是使用工具过程中出现了一些错误,导致网站源代码没有完整下载。正如网页显示内容中的提示所说,不好使的情况下,试着手工解决。那么此题目是让我们不要过度依赖工具的使用。使用 tree 命令列出下载到本地目录的所有文件。发现一个可疑的文本文件,查看文本文件发现历史记录中一个新增的 flag 文件。正则搜索相关文件发现可疑文本,使用 curl 命令检查发现此题flag。
CTFHub:web前置技能-信息泄露-HG泄露
wdnmddbl的博客
06-07 359
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:文章很详细。
CTFHub-Web-信息泄露-HG泄露
qq_54037445的博客
11-19 409
CTFHub-Web-信息泄露-HG泄露 flag寻找,dvcs-ripper使用
CTFHub技能树 Web-信息泄露 HG泄露
Senimo
12-22 1907
CTFHub技能树 Web-信息泄露 HG泄露 hit:当开发人员使用 Mercurial 进行版本控制,对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。 启动环境: 其提示了为Mercurial的信息泄露,也就是/.hg泄露 提示flag在服务器端就版本中 有了SVN泄露的经验,直接使用dvcs-ripper下载.hg文件: ./rip-hg.pl -v -u http://xxx.com/.hg 打开.hg文件夹: 查看到其中有last-mes
CTFHub 信息泄露
2301_80911344的博客
04-17 1125
目录遍历是。
CTFHUBWeb安全—信息泄露
Lucky小小吴的小屋
10-24 3085
本模块有十道题 目录遍历 phpinfo 备份文件下载(4道) 网站源码 bak文件 vim缓存 .DS_Store Git泄露 SVN泄露 HG泄露
CTF信息泄露.(CTFHub靶场环境)
网络安全领域___专研者.
07-31 3081
信息泄露 ” 是指网站无意间向用户泄露敏感信息泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息泄露敏感的用户或业务数据的危险相当明显,但是泄露技术信息有时可能同样严重,尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他的漏洞。
CTFHub-Web-信息泄露
1stPeak's Blog
07-27 405
文章目录目录遍历PHPINFO网站源码bak文件vim缓存.DS_StoreGit泄露-Log(环境有问题)Git泄露-Stash(环境有问题)Git泄露-IndexSVN泄露HG泄露 目录遍历 解题方法 第一种:一个一个点 第二种:python脚本 import requests url = "URL" for i in range(1,5): for j in range(1,5): req = url + "/" + str(i) + "/" + str(j)
CTFHub Web Web前置技能+信息泄露
m0_51150495的博客
06-30 980
目录一、Web前置技能1.HTTP协议请求方式 302跳转 Cookie 基础认证 响应包源代码 二、信息泄露1.目录遍历 2.PHPINFO 3.备份文件下载网站源码 bak文件 vim缓存 .DS_Store 4.Git泄露Log Stash Index5.SVN泄露 6.HG泄露在开启题目后看到出现的链接,提示我们现在所使用的HTTP请求方式为GET方式,需要将请求方式修改为CYF**B来获取flag 我们刷新这个提示页面进行抓包,得到请求方式确实为GET 将数据包发送到Repeater,将GET修改
CTFHUB | 信息泄露
2302_80946742的博客
04-05 558
打开环境,点击开始寻找flag看看有什么东西可以看到,这里给出了网站的部分目录,我们可以点击进行访问首先我们要明白,访问网站就是访问其目录中的文件,例如我们看到的网站首页,一般都是位于网站/var/www/html目录下的index文件中。可以这样理解,一个网站就是由各级目录和其中的文件组成的。这里我们既然可以访问目录,题目又是遍历目录,那么我们就来看看这些目录里面都有什么东西。
信息与通信HG本地WEB开通方法.pptx
07-30
信息与通信HG本地WEB开通方法.pptx
hg19基因位置信息.txt
05-12
UCSC下载的基因位置信息
HG8210C服务器WEB目录html.tar.gz
05-01
HG8210C 服务器 WEB 目录详解】 在IT行业中,服务器管理是至关重要的环节,而 HG8210C 是一款常见的宽带网络终端设备,常用于家庭和小型企业的网络接入。该服务器内置的WEB目录是用户通过Web界面进行配置和管理...
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
07-28
毕设系统—智慧工地监控管理系统-可执行内含文档代码-可执行内含文档代码.zip
一种基于关键能力的体系贡献率评估方法_李丹.caj
最新发布
07-28
一种基于关键能力的体系贡献率评估方法_李丹
化学/环境学-线性拟合/零级反应动力学拟合/一级反应动力学拟合/二级反应动力学拟合/三级反应动力学拟合软件
07-28
在进行实验的过程中,常常遇到做出一组数据却不知其效果的困扰,如做出标准曲线却不知其拟合优度。一般需用电脑的专业软件进行拟合,如Origin、MATLAB等,但存在操作步骤复杂,软件需付费等问题。基于上述情况,针对线性拟合(linear fitting)和零级反应动力学拟合(zero-order reaction kinetics fitting)、一级反应动力学拟合(first-order reaction kinetics fitting)、二级反应动力学拟合(second-order reaction kinetics fitting)、三级反应动力学拟合(third-order reaction kinetics fitting)等特殊拟合场景,开发了一个软件,其优势有: a.使用BSD许可证,即允许免费使用、修改和分发; b.支持手机(Android系统)和电脑(Windows系统)双平台使用,便于在实验现场检验实验效果; c.软件界面均采用中文。
ctfhub HG泄露
09-27
HG泄露漏洞是指当开发人员使用Mercurial进行版本控制,并且在配置不当的情况下,可能会将.hg文件夹直接部署到线上环境,从而导致敏感信息泄露的漏洞。这种配置错误可以使攻击者访问整个代码库的历史记录、分支、标签...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值