CTFshow协议头信息泄露

cmjzd_gg

已于 2022-10-19 08:46:56 修改

阅读量193

点赞数

分类专栏： Ctfshow会员题目解析文章标签：网络安全 web安全网络

于 2022-10-19 08:38:50 首次发布

本文链接：https://blog.csdn.net/cmjzd_gg/article/details/127400424

版权

Ctfshow会员题目解析专栏收录该内容

1 篇文章 0 订阅

订阅专栏

题目截图

在这里插入图片描述

首先拿到题目观察提示信息：没思路的时候抓个包看看，可能会有意外收获

eg：看了提示好像有一点点思路了。

我胖虎岂是害怕困难的，看我现在就来大展身手。

思考过程：

1.协议头泄露，那我就打开F12点开Network看看Headers头部文件里面有没有我想要的Flag？
靶场截图 浏览器观察协议头

在这里插入图片描述

这是怎么回事
在这里插入图片描述

没有数据包？怎么回事啊，离谱。奥对对对对，重新按F5刷新网页抓包
刷新重新查看
在这里插入图片描述

现在有了，点击数据包，看看Headers头部文件里面有没有我想要的Flag。
Flag界面

原来如此
在这里插入图片描述

果然在这里可以看到flag的存在，复制一下去提交界面看看是否正确
提交界面
在这里插入图片描述

成功界面
在这里插入图片描述

太简单了

以上就是弟弟做题过程，还希望各位大佬能探讨学习，如果有更好的解题思路，可以给我私信。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

cmjzd_gg

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
CTFshow协议头信息泄露

CTF靶场题目解析，一位初学者的笔记分享，请各位大佬提出宝贵建议。期待和您一起学
复制链接

扫一扫

专栏目录

Web入门——信息搜集

wo41ge的博客

11-09

512

以下题目都来自这里 web1-查看源码右键源代码找到了 web2-URL查看源码右键用不了 F12也用不了但是在URL前面加上view-source:也可以查看源代码 web3-HTTP响应 flag在HTTP响应中 web4-robots协议上robots协议果然是有的访问就拿到了 web5-备份文件泄露 dirmap扫描，具体配置看这里 web6-备份源码泄露 ...

ctf.show web 协议头信息泄露

Sk1y的博客

05-06

349

题目给出了题目，建议抓包，查看响应头正常情况下，应该是burpsuite抓包（但是比较懒），直接用firefox浏览器开发者工具的网络选项进行查看响应头

1 条评论您还未登录，请先登录后发表或查看评论

ctfshow 协议头信息泄露

qq_55777983的博客

07-19

238

什么都没发现题目叫协议头信息泄露按f12看一下head(谷歌浏览器) （好水

CTF.SHOW Web入门1-6

MChen_sir的博客

09-02

253

网站主页源码文件名为www.zip，所以URL/www.zip对网站主页源码下载即可。得知信息存在/flagisherer.txt文件。view-source:URL即可查看。无法右键菜单，无法F12查看源码。路径后面加/robots.txt。输入路径/index.phps。发送到Repeater。index.phps知识点。

ctfshow做题记录（一）

qq_73975638的博客

04-07

428

打开之后只看到了一句web1:where is flag?根据题目中说是源码泄露，直接右键查看源代码，在源代码的末尾位置看到了flag。

ctfshow web139命令盲注脚本

10-21

ctfshow靶场 web入门 web139 命令盲注脚本

CTFSHOW web193 left标注盲注脚本

05-04

其中，它通过修改注入语句中的 payload 变量，来获取不同的信息，包括数据库名、表名、列名和 flag 的值。在获取每个字符时，它会枚举 flag 可能的字符，逐个尝试，直到找到正确的字符为止。最终，它会输出获取到的...

CTFSHOW web183 正则爆破脚本

10-21

CTFSHOW web183 正则爆破脚本

ctfshow web214 时间盲注标准脚本

10-21

ctfshow web214 时间盲注标准脚本

CTFSHOW~信息收集(10~20)

01-28

### CTFSHOW~信息收集(10~20) #### WEB~10 题目：cookie只是一块饼干，不能存放任何隐私数据 - **背景介绍**：本题主要探讨了Cookie的安全性问题，强调不应将敏感或隐私数据存储在Cookie中。 - **实践步骤**： - ...

ctfshow入门web题（信息收集）

最新发布

yw__y的博客

07-05

253

。

ctfshow---vip限免题目1~10关

zhhhb1005的博客

04-03

2388

目录源码泄露前台JS绕过协议头信息泄露 robots后台泄露 phps源码泄露源码压缩包泄露版本控制泄露源码版本控制泄露源码2 vim临时文件泄露 cookie泄露源码泄露这一题主要考察如何查看网页源代码，查看方式主要有三种在网页前面加上view-source: 右键页面，点击查看页面源代码键盘上按下F12打开开发者工具，在查看器中查看源代码这一题随便一种都可以查看源代码。前台JS绕过这一题右键和F12都没有办法使用...

ctfshow VIP限免题目 wp

dangejinghong的博客

04-04

790

数据库恶意下载前端密钥泄露 js敏感信息泄露 CDN穿透探针泄露密码逻辑脆弱编辑器配置不当内部技术文档泄露敏感信息公布域名txt记录泄露 cookie泄露 vim临时文件泄露版本控制泄露源码2 版本控制泄露源码源码压缩包泄露 phps源码泄露

CTFshow-Web入门-信息泄露

Atkx's Blog

03-26

3132

信息泄露WEB 1 源码泄露WEB 2 前台JS绕过WEB 3 协议头信息泄露WEB 4 robots后台泄露WEB 5phps源码泄露WEB 6 源码压缩包泄露WEB 7 版本控制泄露源码WEB 8 版本控制泄露源码2WEB 9WEB 10WEB 11WEB 12WEB 13WEB 14WEB 15WEB 16WEB 17WEB 18WEB 19 前端密钥泄露WEB 20 信息泄露 WEB 1 源码泄露题目描述：开发注释未及时删除查看源代码，得到flag WEB 2 前台JS绕过题目描述:js前台.

ctfshow做题记录（二）

qq_73975638的博客

04-10

435

题目中介绍了关于mdb文件的一些知识，于是想这这个题应该跟mdb文件有关，于是在网址后加上/db/db.mdb访问，下载下来一个mdb文件，用记事本打开后发现是一堆乱码，于是尝试搜索了一下ctf，找到了flag。打开题目后发现是一个登录页面，尝试了一下最普遍的账号admin，密码123456发现并没有啥用，于是就查看了源代码，在后面发现了账号密码，但是输入后还是显示密码错误，于是准备尝试一下用bp抓包。根据题目中所说，公开的信息可能会造成信息泄露，比如邮箱，然后确实在网页中找到了一个公开的QQ邮箱。

一、CTF-Web-信息泄露（记录CTF学习）

qq_27920699的博客

12-16

2630

个人CTF学习之路

CTFshow——web入门（信息泄露）

doraemon12345的博客

05-30

1391

web1 源码泄露直接 f12 在下面注释行中可以看到flag web2 前台js绕过方法有很多： 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露题目提示没思路抓包看看，就用burp抓个包看看，在响应头里发现flag web4 robots后台泄露题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路。访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web

ctfshow信息收集&爆破

njh18790816639的博客

04-10

432

学学web，别一直被大佬打，打痛了 web01 直接查看源代码 web02 打开开发者工具查看源代码！或者加上view-source:在http前 web03 于响应头可以找到flag web04 根据提示访问url+/robots.txt然后根据提示再访问flagishere.txt web05 php泄露，所以在url加上index.phps即可！ web06 在url后面加上www.zip下载压缩包，然后解压打开即可找到flag！ web07 git泄露问题，访问url+.

ctfshow---vip限免题目11~20

zhhhb1005的博客

04-03

2446

域名txt记录泄露提示：域名其实也可以隐藏信息，比如ctfshow.com 就隐藏了一条信息. 有一个工具在线域名解析记录检测这个我解析不出来看别人博客弄出来的敏感信息公布加上后缀/admin/，出现一个登录窗口用户名是admin；密码则是在网页中在网站下面发现一串数字，输入，登录后得出flag。内部技术文档泄露鼠标随便晃，发现下面有个东西可以点击打开后发现给出了具体步骤这个是在你自己的题目网址后面加上/system1103/login.php...

ctfshow web入门信息搜集

03-16

CTFShow Web入门中的信息搜集包括以下内容： 1. Whois查询：通过Whois查询可以获取网站的注册信息，包括域名所有者、注册商、注册时间等。 2. 网站备案查询：通过网站备案查询可以获取网站的备案信息，包括备案号、备案时间、备案主体等。 3. 网站目录扫描：通过网站目录扫描可以获取网站的目录结构，包括隐藏目录、文件等。 4. 网站漏洞扫描：通过网站漏洞扫描可以发现网站存在的漏洞，包括SQL注入、XSS等。 5. 网站源代码分析：通过网站源代码分析可以获取网站的代码结构、逻辑等信息，包括注释、变量名等。 6. 网站日志分析：通过网站日志分析可以获取网站的访问记录、用户行为等信息，包括IP地址、访问时间等。以上是CTFShow Web入门中的信息搜集内容，希望对您有所帮助。