敏感信息泄露20道题

最新推荐文章于 2024-08-17 17:03:35 发布
最新推荐文章于 2024-08-17 17:03:35 发布
阅读量396 收藏 8
点赞数 3
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjyyyyy7/article/details/140742072
版权

1.源码泄露

打开靶场环境
在这里插入图片描述
查看源代码,发现flag
在这里插入图片描述

2.前台JS绕过

打开靶场环境,无法右击查看源代码,F12也无法使用
在这里插入图片描述
Ctrl+U查看源代码发现flag
在这里插入图片描述

3.协议头信息泄露

协议头信息泄露,F12刷新后查看网络
在这里插入图片描述

4.robots后台泄露

目录扫描出robots.txt拼接在URL后
在这里插入图片描述
在这里插入图片描述
再根据提示访问路径,得到flag
在这里插入图片描述

5.php 源码泄露

目录拼接index.php下载文件得到flag
在这里插入图片描述

6.源码压缩包泄露

由题目可知是要访问压缩包,所以直接访问/www.zip,即可下载源码压缩包,其中因为网站的文件都放在www下面,所以直接访问/www.zip就可以得到网页的源码压缩包。
在这里插入图片描述
解压后得到flag所在文件
在这里插入图片描述
拼接文件名得到flag
在这里插入图片描述

7.版本控制泄露源码

目录扫描出
在这里插入图片描述
进行目录拼接得到flag
在这里插入图片描述

8.版本控制泄露源码2

在这里插入图片描述
在这里插入图片描述

9.Vim临时文件泄露

拼接index.php,下载查看缓存文件,打开得到flag
在这里插入图片描述

10.Cookie泄露

F12查看cookie,得到flag
在这里插入图片描述

12.敏感信息公开

网页最下面有电话
在这里插入图片描述
访问 robots.txt 发现存在/admin
在这里插入图片描述
访问admin进行登录,用户名是admin密码就是电话号码
在这里插入图片描述

13.内部技术文档泄露

页面最下发现document文件,点击打开
在这里插入图片描述
跳转到document文件,发现敏感信息进行登录。
在这里插入图片描述
进入后台地址,登录得到flag。
在这里插入图片描述

14.编辑器配置不当

进行目录扫描
在这里插入图片描述
访问url/editor
在这里插入图片描述
直接在 url 后⾯添加/editor 然后查看 flag 路径并且访问
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

15.密码逻辑脆弱

拼接URL /admin跳转到登录页面,点击忘记密码,会提问是哪个地区的,在主页下面可以发现QQ邮箱,通过QQ邮箱发现是西安,返回忘记密码输入后会重置密码。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
返回登陆页面进行登录
在这里插入图片描述
在这里插入图片描述

16.探针泄露

访问/tz.php
在这里插入图片描述
点击PHPINFO,查找flag
在这里插入图片描述

17.Jsp敏感信息泄露

查看源代码中的jsp文件
在这里插入图片描述
Unicode解码
在这里插入图片描述

19.前端密钥泄露

查看网站源代码发现username和密钥
在这里插入图片描述
登陆页面提交时抓包,发送给重发器,修改密钥发送后得到flag
在这里插入图片描述

20.数据库恶意下载

mdb ⽂件是早期 asp+access 构架的数据库⽂件 直接查看 url 路径添加/db/db.mdb 下载⽂件
在这里插入图片描述
打开后查找到flag
在这里插入图片描述

ffyy7
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
敏感信息泄露
A182184的博客
12-20 313
portswigger靶场敏感信息泄露的一些实验,留下自己做的痕迹方便自己学习也希望能够帮助大家
干货|敏感信息泄露
m0_61596829的博客
06-17 1459
Web安全--敏感信息泄露
CTFSHOW敏感信息泄露20道题WP
Freshman2273的博客
07-27 767
根据题目提示,查看网页源码,找到editor/upload,说明可能存在上传接口,进行editor拼接进入编辑器。无法通过F12或右键查看网页源码,尝试通过Ctrl+U,成功打开源码得到Flag。通过题目提示,对php类型的文件进行扫描(php,phps)根据题目提示找到网站cookie,flag就在其中。经过查找发现疑似flag文件,对网站拼接进行访问。根据题目信息,查看网页JS文件,发现疑似通关代码。根据扫出来的目录再次扫描,发现mdb文件。拼接后拿到文件,flag包含在文件中。
敏感信息泄露20道题wp
m0_75212313的博客
07-28 888
vim备份文件 默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看;eg:index.php普遍意义上的首页,输入域名不一定会显示,它的备份文件则为index.php~都是版本控制系统 (Version Control System, VCS) 的隐藏目录,分别代表着 Git 和 Subversion 这两种流行的版本控制系统。php探针文件一般命名为tz.php,tan.php,zhen.php,拼接目录发现网站探针泄露
信息安全意识测试200题.pdf
09-10
信息安全意识测试200题.pdf 本测试题旨在检测个人对信息安全意识的理解和掌握程度...这200道信息安全意识测试题涵盖了信息资产安全管理、物理安全和人员安全等多个方面,旨在检测个人对信息安全意识的理解和掌握程度。
计算机类信息安全工程师单选题.docx
12-16
该单选题涵盖了计算机类信息安全的多个领域,包括网络攻击、网络钓鱼、加密算法、信息分析、域名系统、网络威胁、信息泄露、访问控制模型、网络安全法规等。 1. 网络攻击:网络攻击是计算机类信息安全的主要威胁之...
计算机信息安全技术练习题.doc
03-26
机密性确保信息只对授权用户开放,防止敏感数据泄露。完整性意味着数据在存储和传输过程中不受篡改,保证其一致性。可用性则是确保信息和服务能够及时、可靠地为合法用户提供。 接着,PPDR安全模型是一种动态安全...
2017年信息安全工程师上午题
08-17
### 2017年信息安全工程师上午题知识点解析 #### 密码攻击类型与选择密文攻击 **知识点1:密码攻击类型** - **仅知密文攻击**:攻击者只有密文信息,试图推断出明文或密钥。 - **已知密文攻击**:攻击者拥有密文...
2020年下半年信息安全工程师下午真题及答案解析.pdf
11-02
5. 信息安全的基本目标CIA指的是保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),这三者是信息安全的三大支柱,确保信息不会泄露给未授权的个人或系统(保密性),数据的准确性和完整性...
哈希原理(笔记)
最新发布
m0_62024160的博客
08-17 816
尤其应该注意Hash function的设计,它是一个难点,Hash funtion设计好坏直接关乎哈希表查询速度的快慢。考虑到哈希碰撞(涉及到对链表的操作),所以最坏的时间复杂度都是O(n)。早期的md5被破解也是因为人们搞清楚了它的加密方法 f(1) )大多利用单向散列函数函数。(简称为f(2) )计算查询哈希碰撞确认某个哈希值的存在,但是无法通过 f(2)逆推出明文(因为 f(2)只是验证方法,而非解密方法)。(本图来源:wiki)这个签名是由文件的散列值通过发布者的私钥加密生成的。
经验笔记:URI、URL、URN与URC之间的区别
qq_45831414的博客
08-14 598
URI是一种通用的标识符,可以指代任何类型的资源。URL是一种特定类型的URI,它不仅标识资源,还提供了访问该资源的方法。URN是一种用于唯一命名资源的特殊URI类型。URC是一个概念性的术语,用于描述如何构建或创建资源的过程。通过理解这些概念的区别,我们可以更加清晰地识别和使用互联网资源的标识方式。在日常工作中,我们最常遇到的是URL,因为它们是我们访问网页和其他在线资源的基础;而URN则在需要持久引用资源的情况下使用。
C++_基本语法笔记_模板
qq_45629864的博客
08-14 411
思想是Java里的泛型(不确定用什么类型的数据)这里template这一句,意思是声明T是泛型,后面写用到泛型T的函数。建议都用应用场景:不同数据类型的交换函数。
8月13日学习笔记 LVS
weixin_70751701的博客
08-13 1138
目标地址散列调度算法先根据请求的目标IP地址,作为散列键 (Hash Key)从静态分配的散列表找出对应的服务器,若该服务器 是可用的且未超载,将请求发送到该服务器,否则返回空。1. 配置两个网卡和两个ip地址,正常来说应该配置两个不同的网段的 ip,一个对外的vip,一个对内的dip,现在主要使用nat的网络模 式,可以配置桥接模式对外,Nat对内,教师机不方便配置桥接模 式,所以都是配置的nat模式,但是一定要分清楚哪个ip是vip,哪个 ip是dip,在物理主机上都要能够ping通。
【OCR 学习笔记】二值化——全局阈值方法
TeamLee的博客
08-14 798
该文介绍了图像二值化操作中的全局阈值方法,包括固定阈值方法和Otsu算法(最大类间方差法)。
C++_基本语法笔记_继承和多态
qq_45629864的博客
08-13 566
思想与Java差不多。
24/8/14算法笔记 复习_OVR和softmax
yyyy2711的博客
08-14 225
OvR(One vs Rest)算法是一种解决多分类问题的方法,它将多分类问题转化为多个二分类问题。具体来说,如果有N个类别,OvR算法会为每个类别训练一个二分类器,将该类别作为正例,其余所有类别作为负例。在预测时,所有二分类器都会对测试样本进行预测,然后选择预测为正例的概率最高的类别作为最终预测结果。如果多个分类器预测为正类,则选择置信度最大的类别作为最终分类结果。这种方法的优点是实现简单,计算量相对较小,但是可能会在类别不平衡的情况下导致性能下降。
C++学习笔记----3、设计专业的C++程序(四)---- 重用既有代码(重用代码类型)
weixin_71738303的博客
08-16 319
在分析重用代码的优劣之前,把可重用代码进行分类,并且起个名字是非常有帮助的,工欲成其事,必先利其器,而这个器叫什么名字我们都还没有确定,恐怕很难继续进行下去吧。还有一个经常被提及的词就是应用编程接口(API),API是一个特定目的的代码实体或库的接口。例如,程序员经常提到的套接字API,就是套接字网络库的暴露接口,而不是库本身。为了简洁起见,以后我们在使用库时指的就是任何可重用的代码,不管是真的库,框架,整个应用,或者是同事的随机函数集合。库指的是实现,而API指的是库公开的接口。程序使用适合框架的库。
EmguCV学习笔记 VB.Net 2.S 特别示例
UruseiBest 的技术专栏
08-17 554
将文字图像生成0和255的二值化图像,使文字部分为黑色(根据实际情况需要考虑反色),然后将文字图像和纹理图像直接相加,文字图像黑色(值为0)的部分相加后为纹理图像的颜色,文字图像白色(值为255)的部分相加后保持白色(255)。8、将加密图像1(mEncPart)和黑色图像2(mnoEncPart)进行直接相加,去除黑色部分,生成背景不加密+区域加密的最终图像(mResult)。4、加密图像(mEnc)和随机值图像(mKey)进行Xor操作,将加密图像解密,生成解密图像(mDec)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值