CTFshow——web入门(信息泄露)

最新推荐文章于 2024-05-13 23:24:20 发布
最新推荐文章于 2024-05-13 23:24:20 发布
阅读量1.3k 收藏 8
点赞数 1
分类专栏: web 文章标签: web php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doraemon12345/article/details/117395437
版权
web1 源码泄露直接 f12 在下面注释行中可以看到flagweb2 前台js绕过方法有很多:1.ctrl+u 查看源代码2.burp抓包查看3.在网址前加上view-source:即可查看源代码web3 协议头信息泄露题目提示没思路抓包看看,就用burp抓个包看看,在响应头里发现flagweb4 robots后台泄露题目提示:总有人把后台地址写入robots,帮黑阔大佬们引路。访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flagweb
摘要由CSDN通过智能技术生成

web1 源码泄露

直接 f12 在下面注释行中可以看到flag

web2 前台js绕过

方法有很多:
1.ctrl+u 查看源代码
2.burp抓包查看
3.在网址前加上view-source:即可查看源代码
在这里插入图片描述

web3 协议头信息泄露

题目提示没思路抓包看看,就用burp抓个包看看,在响应头里发现flag

web4 robots后台泄露

题目提示:总有人把后台地址写入robots,帮黑阔大佬们引路。
访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag

web5 phps源码泄露

题目提示:phps源码泄露有时候能帮上忙
访问下载文件打开看到flag

在这里插入图片描述

web6 源码压缩包泄露

www.zip下载文件,在index.php文件发现flag位置,访问fl000g.txt文件,压缩包里面那个是假的,
在网页上访问

最低0.47元/天 解锁文章
south_1
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CTFSHOW web193 left标注盲注脚本
05-04
其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,包括数据库名、表名、列名和 flag 的值。在获取每个字符时,它会枚举 flag 可能的字符,逐个尝试,直到找到正确的字符为止。最终,它会输出获取到的...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow 敏感信息公布
qq_55777983的博客
07-24 737
打开网站,根据题目,猜测应该是该网站泄露了一些信息 翻到最下面原来是这个 接下来我迷茫了很久(其实题目没头绪的时候用御剑扫一下有时候能获得意外收获) 这里我们访问robots.txt反爬文件可以发现 我们直接访问url/admin/ 不给账号很多题目都是admin然后我们直接输入之前拿到的网站最下面泄露信息成功登录 ...
ctfshow 前端密钥泄露
qq_55777983的博客
07-30 839
ctrl+u 直接pp抓包 进行post传参
最新CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web,2024年最新看这篇文章就行了
最新发布
2401_84264244的博客
05-13 951
index.phps。
CTF刷题打卡5-CTFHub-web信息泄露
weixin_42901207的博客
02-10 292
www.zip index.php.bak index.php.swp /.git git log git diff git stash pop perlrip-svn.pl -v-u http://www.example.com/.svn/
ctfshow 源码压缩包泄露
qq_55777983的博客
07-19 1105
按提示访问/index.phps.zip (好水
CTFshow--WEB入门--信息搜集
qq_46874275的博客
04-13 489
~目录~信息搜集web1 源码web2 js前台拦截web3 响应头web4 robots.txtweb5 index.phpsweb6 www.zipweb7 .gitweb8 .svnweb9 vim缓存web10 cookieweb11 域名解析web12 公开信息 信息搜集 web1 源码 flag在源码中 web2 js前台拦截 右键和F12都被禁用,可以抓包、禁用JavaScript、crtl+u查看 web3 响应头 抓包发现响应头里有flag 或者直接在网页响应头里找 web4 ro
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTFshow_web入门_信息搜集
ScyLamb的博客
01-20 263
https://blog.csdn.net/qq_44893894/article/details/109380529 0x00 web1 payload:查看源代码 0x01 web2 <script type="text/javascript"> window.oncontextmenu = function(){return false}; window.onselectstart = function(){return false}; window.onkeydown = func
CTFshowWeb入门信息(9-20)
ki10Moc的博客
04-25 555
9、Vim临时文件泄露 vim在编辑文档的过程中如果异常退出,会产生缓存文件,第一次产生的缓存文件后缀为.swp,后面会产生swo等… 所以直接访问url/index.php.swp下载访问备份文件即可。 ctfshow{18e9fe55-486f-4f4d-abbe-93a7f404fa18} 10、cookie泄露 之前在xctf见过类似的,这里直接BP抓包即可。 再url解码得到flag。 ctfshow{e32840df-9362-4348-9360-98fadeed4e06} 11、
CTFshowWeb入门信息(1-8)
ki10Moc的博客
04-17 353
前言 经过几天的学习,把20道很简单的CTFshow题目结束了,这个过程是相对轻松的,算是对信息泄露入门了解。 话不多说,开始正篇。 1、源码泄露 直接可以在查看器中看到flag。 2、前台JS绕过 直接点开开发者工具查看页面源代码。 3、协议头信息泄露 这次好像都看不了了,再看一下题目hint!!! 打开BP。 找到flag。 4、robots后台泄露 根据hint我们可以知道robots这个应该是要访问后台的。 访问robots.txt后得到这样的页面。 接着访问flagishere.t
ctfshow web
cxiaodi的博客
02-25 164
ctfshow web 命令执行 29-48
CTFshow web入门 sql web188-246
Je3Z的博客
04-15 2022
web188 在where username=0这样的查询中,因为username都会是字符串,在mysql中字符串与数字进行比较的时候,以字母开头的字符串都会转换成数字0,因此这个where可以把所有以字母开头的数据查出来。 而password=0的原因在于这里: if($row['pass']==intval($password)){ 没错。。。弱类型比较,看来查出来的pass也都是以字母开头的,所以password=0可以成功弱类型比较,得到flag。 ...
ctf_show web入门 sql篇 171-239
weixin_48083470的博客
07-23 1565
ctfshow web入门 sql篇 171 很简单直接联合查询 172 和第一题一样的查询语句,不过在显示内容时有过滤 过滤了flag " ' union select id,if(username='flag','a',username),password from ctfshow_user2 %23 可以在查询时将结果替换 即可 173差不多同上题 也有 like,regexp 正则匹配的方式 比较 内容 174 内容过滤了flag 和数字 直接查我查不出来 flag里肯定会有数字 选择布尔盲注
CTF-show VIP限免题目
qq_74388419的博客
03-20 425
var/www/html/nothinghere/fl000g.txt,访问即可得到flag,多次尝试后得知需访问。浏览器为Microsoft Edge。1.禁用JS,再查看源代码;大写的flag好像是错误的!3.ctrl+u查看源代码。网址访问/admin/
ctfshow做题记录(二)
qq_73975638的博客
04-10 435
题目中介绍了关于mdb文件的一些知识,于是想这这个题应该跟mdb文件有关,于是在网址后加上/db/db.mdb访问,下载下来一个mdb文件,用记事本打开后发现是一堆乱码,于是尝试搜索了一下ctf,找到了flag。打开题目后发现是一个登录页面,尝试了一下最普遍的账号admin,密码123456发现并没有啥用,于是就查看了源代码,在后面发现了账号密码,但是输入后还是显示密码错误,于是准备尝试一下用bp抓包。根据题目中所说,公开的信息可能会造成信息泄露,比如邮箱,然后确实在网页中找到了一个公开的QQ邮箱。
ctfshow-web入门爆破
08-30
ctfshow-web入门爆破中,可以使用正则爆破脚本来实现对目录的暴力破解。该脚本会将true拼接成数字,并以此来替换ASCII码中的数字、字母和特殊符号,以实现对目录的爆破。通过暴力破解目录/0-100/0-100/看返回数据包,可以在爆破过程中去掉2.txt,只爆破目录即可。可以通过查看返回的数据包来获取目录中的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web185 正则爆破脚本](https://download.csdn.net/download/eason612/86793758)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CTFshow web入门——爆破](https://blog.csdn.net/qq_49480008/article/details/112991503)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值