ctfhub-web-信息泄露-题解

已于 2024-08-14 10:08:55 修改
阅读量127 收藏
点赞数 5
文章标签: 安全
于 2024-08-13 18:31:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baishiqi12/article/details/141170894
版权

     引言

 “CTF Hub”是一个用于练习和解决各种安全问题的平台。信息泄露是CTF挑战中的一个常见题目类型,目标是通过各种技术手段获取系统中意外暴露的敏感信息。

       下面是典型的“CTF信息泄露”题目解题流程的示例,具体步骤因题目而异:点击链接  CTFHub ,进入CTFHub网站,点击技能树——>Web——>信息泄露。

一、目录遍历

1、点击开启题目

2、 点击开始寻找flag

  

 3、逐个寻找文件夹

4、找到存在 flag.txt 的文件

   

5、打开文件,即可找到需要提交的内容

6、将文件中的内容复制到提交栏中 

 7、即可完成题目

二、PHPINFO

1、点击PHPINFO,开启题目

2、 点击查看PHPINFO

3、进入页面

4、使用快捷键Ctrl + F ,查找ctfhub关键字

5、寻找 enivronment 环境下的FLAG 复制该语句,即可提交答案

三、备份文件下载

点击备份文件下载

1、网站源码

(1)点击网站源码,开启题目

(2)点击链接,进入页面

(3)打开 kali 虚拟机终端,使用命令查找 dirsearch -u 链接名称

(4)可查找到Flag所在位置

(5)访问并下载 www.zip ,打开文件夹

(6)查看文件flag_374723776.txt

(7)在网址栏搜索文件名称,即可获取到结果,进行提交

2、bak文件

(1)点击bak文件,开启题目

 

(2)点击链接,进入页面

(3)在搜索栏继续输入   index.php.bak  

(4)即可获得结果ctfhub{95c8addf34db7058278c6267},进行提交

3、vim缓存 

(1)点击vim缓存,开启题目

(2)点击链接,进入页面

(3)在搜索栏继续输入   index.php.swp,并下载文件

(4)即可获得结果ctfhub{1413b5f0a17113c144f15695} ,进行提交

4、.DS_Store

(1)点击.DS_Store,开启题目

(2)点击链接,进入页面

(3)在搜索栏继续输入 .DS_Store,并下载文件

 

(4)在搜索栏继续输入 31419bd2983c3d56700b6b9c35f080bc.txt ,查找文件,即可获得结果,进行提交

四、Git泄露

打开Git泄露

1、Log

(1)点击Log,开启题目

(2)点击链接,进入页面

2、Stash

(1)点击Stash,开启题目

(2)点击链接,进入页面

3、Index

(1)点击Index,开启题目

(2)点击链接,进入页面

五、SVN泄露

六、HG泄露

baishiqi12
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFHub-目录遍历
m0_69003772的博客
04-23 1823
CTFHub目录遍历解题过程
CTFHUB学习题解Web(3)- 密码口令与XSS
独沐晨霖
07-23 1566
注: 1.是个正在学习的新手,连脚本小子都不够格 2. 很多题目都很基础,但是都做了详细截图 3. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 4. 大标题为版块名,小标题为题目名 5. 个人学习记录和复习使用,如有错误欢迎指正 文章目录密码口令弱口令默认口令XSS反射型 密码口令 弱口令 并不知道用户名和密码,用burp抓包 对用户名和密码进行cluster bomb模式爆破 爆破成功得到flag 默认口令 既然是默认口令就要查找这个“eYou邮件网关”的默认用户名和密码 登
ctfhub-web-信息泄露
最新发布
kknifek的博客
08-13 53
点击之后会跳转到flag_in_here目录,在目录里寻找txt文件。点进去后ctrl+f寻找关键字ctfhub。开始题目后按如下操作。
网络安全最全CTFHUB-web-信息泄漏,2024年最新字节跳动Andorid岗25k+的面试题
2401_84252281的博客
05-14 579
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
题解记录-CTFHub技能树|Web|信息泄露
weixin_57448435的博客
09-13 734
CTFHub技能树 web 信息泄露 目录遍历 PHPINFO Git泄露 git命令SVN泄露 HG泄露
CTFHubweb-vim信息泄露
qq_40317852的博客
11-27 1907
3.vim缓存 (1)知识补充   vim 交换文件名 在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容   以 index.php 为例:第一次产生的交换文件名为 .index.php.swp   再次意外退出后,将会产生名为 .index.php.swo 的交换文件   第三次产生的交换文件则为 .index.php.swn (2)题解 将缓存文件下载下来,使用vim编辑原有文件,例如下载的.index.p
CTFhub-RCE漏洞详解
qq_49422880的博客
05-19 2490
CTFHUB-RCE漏洞详解(一)一、eval执行二、文件包含三、php://input   RCE英文全称:remote command/code execute(远程命令/代码执行漏洞)是互联网的一种安全漏洞。   它可以让攻击者直接向后台服务器远程注入操作系统命令,相当于直接操控服务器电脑的cmd命令行!从而操控后台系统,高危漏洞!   RCE漏洞产生的根本原因:服务器像php环境版本对可执行变量函数没有做过滤,导致在没有自定义相对路径的情况下就运行命令去执行,从而导致服务器被入侵。 一、eval执行
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 6948
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
CTFHUB学习题解Web(1)- 前置技能(持续更新整理)
独沐晨霖
07-21 2103
注: 1. 因为是个入门题网站,若题目仅涉及简单的基础知识,就不截图了,仅简要说明过程 2. 题库尚不完全,没有内容的分支先直接跳过,等题库更新再做添加 3. 大标题为版块名,小标题为含有题目的上级菜单名,无序黑体为题目名 Web HTTP协议 请求方式 众所周知,HTTP的请求方法是可以自定义的,用burp抓个包改一下请求方式为题目要求的CTFHUB就可以了 302重定向 打开网页用F12发现请求会被302重定向回index.html,用burp拦截并send to repeater即可得到fla
CTF-Mobile-Tutorial:我写的一些Mobile CTF题解
03-28
CTF移动版教程:Java应用安全解析》 在网络安全竞赛(CTF)的世界中,移动平台的安全性逐渐成为关注的焦点。本教程由作者wnagzihxa1n精心整理,旨在帮助初学者理解并掌握移动CTF中的关键知识点,特别是与Java相关...
web-ctf-writeups
05-10
web-ctf-writeups web狗爬坑中的学习的writeup整合。 如果有师傅认为侵权,请联系我删除。另欢迎各位师傅投递链接。该repo会不断更新,最近更新日期为:2018/6/26。 N1CTF 大部分题解 777&&777 2&&babysqli Easy&&...
实验舱OJ满分题解-1375、冒泡排序过程
06-03
实验舱OJ满分题解-1375、冒泡排序过程
程序员面试指南-数据结构与算法题解
07-23
资源名称:程序员面试指南-数据结构与算法题解资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
基于python源码的0-1背包问题动态规划的题解.zip
01-21
题解将深入探讨0-1背包问题的动态规划解决方案,并通过Python源码进行详细解释。 0-1背包问题的基本设定是:有一个容量为V的背包,以及n个物品,每个物品i有自己的价值vi和重量wi。目标是在不超过背包总容量的...
Linux安全与高级应用(十三)深入解析Linux中的rsync远程同步:原理、配置与应用
洛秋的博客
08-13 557
1.1 rsync的基本原理rsync(Remote Sync)是一种用于本地或远程的文件同步工具。与传统的文件拷贝工具不同,rsync的核心优势在于其增量同步的特性,即只传输源和目标之间不同的文件部分,极大地减少了数据传输量。rsync支持通过SSH或直接使用rsync协议进行数据同步,这使得它在跨网络的大数据备份中表现尤为出色。1.2 rsync的优势增量备份:只同步差异文件或文件的变化部分,大幅减少网络传输量和时间。安全性:通过SSH加密通道进行传输,保障数据的安全。灵活性。
在亚马逊云科技上安全、合规、私密地调用生成式AI大模型
m0_66628975的博客
08-13 1636
Amazon Bedrock 是亚马逊云科技提供的一项服务,旨在帮助开发者轻松构建和扩展生成式 AI 应用。Bedrock 提供了访问多种强大的基础模型(Foundation Models)的能力,支持多种不同大模型厂商的模型,如AI21 Labs, Anthropic, Cohere, Meta, Mistral AI, Stability AI, 和Amazon,用户可以使用这些模型来创建、定制和部署各种生成式 AI 应用程序,而无需从头开始训练模型。
SSL发送邮件:如何确保邮件传输过程安全
DengHua2203的博客
08-13 292
配置SSL发送邮件需要正确设置邮件客户端和邮件服务器,并定期检查SSL证书的有效性。AokSend,通过API与SMTP接口,安全SSL加密发送邮件,保护数据,营销无忧!
H5直播行业的安全挑战:为何害怕黑客攻击?
@云安全小杜
08-13 259
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git的泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值