CTFHUB-WEB-信息泄露+密码口令【02】 dirsearch 、Githack使用

最新推荐文章于 2024-06-28 09:12:14 发布
最新推荐文章于 2024-06-28 09:12:14 发布
阅读量885 收藏 11
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/grb819/article/details/117655439
版权

信息泄露

一、目录遍历

在这里插入图片描述

二、 phpinfo

在这里插入图片描述

三、 备份文件下载

网站源码

在这里插入图片描述
在这里插入图片描述
用御剑扫描
在这里插入图片描述
在这里插入图片描述
php开发的网站通常以www目录下的文件为访问路径,所以这里以网站方式打开txt文件,即可查看到flag

bak文件

bak是网页的备份
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

vim缓存

vim异常关闭会残留缓存
在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容

以 index.php 为例:第一次产生的交换文件名为 .index.php.swp

再次意外退出后,将会产生名为 .index.php.swo 的交换文件

第三次产生的交换文件则为 .index.php.swn

在这里插入图片描述

在这里插入图片描述

.DS_Store

最低0.47元/天 解锁文章
(∪.∪ )...zzz
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
目录扫描工具dirsearch
04-09
Dirsearch是一款用Python编写的目录扫描工具,可以用于发现Web应用程序中隐藏的文件和目录。它的特点是速度快、易于使用和高度可配置。Dirsearch提供了一个字典列表(默认自带),包含了常见的目录和文件名,同时也支持用户自定义字典。 使用Dirsearch时,用户只需指定目标URL和选择字典列表即可开始扫描。Dirsearch会尝试使用字典中的每个条目构建URL,并发送HTTP请求以检查响应是否存在。除此之外,用户还可以利用Dirsearch的多种选项进行自定义配置,例如设置线程数、忽略某些响应代码、设置代理等等。 常用的指令: -u 或 --url:指定目标URL。 -e 或 --extensions:指定扫描的文件扩展名,多个扩展名以逗号分隔。 -x 或 --exclude-extensions:指定不需要扫描的文件扩展名,多个扩展名以逗号分隔。 -w 或 --wordlist:指定使用的字典文件路径。 -t 或 --threads:指定线程数,默认为10。 -r 或 --recursive:设置是否递归扫描子目录,默认为否。 -s 或 --simple-repo
kali安装目录扫描工具-dirsearch和git泄露利用脚本GitHack
热门推荐
qq_44841017的博客
04-24 1万+
下载dirsearch git clone https://github.com/maurosoria/dirsearch 进入dirsearch目录,进行扫描 这里我尝试了几次不同的用法,dirsearch只适用于python3,我之前在别的博客上看到按照我第一种用法,结果发现不行,所以需要直接打python3再使用dirsearch 每一列的含义分别是:扫描时间,状态码,大小,扫描的目录...
[BUUCTF从零单排] Web方向 02.Web入门篇之『常见的搜集』解题思路(dirsearch工具详解)
最新发布
杨秀璋的专栏
06-28 1276
前文介绍了Web方向的基础题目——粗心的小李,考察的是git泄露文件知识。这篇文章同样是Web方向的题目——常见的搜集,该题目主要考察信息收集知识,为了方便大家思考,文章摘要部分尽量少提,大家也可以先尝试实践,再看WriteUp。基础性文章,希望对您有所帮助,尤其是对网络安全工具的使用和理解。
CTF|工具使用|dirsearch 命令
PengXing_Huang的博客
10-31 180
dirsearch 命令
CTFHUB之GIT泄露
m0_56988395的博客
03-03 2097
目录 1、Log 2、Stash 3、Index 1、Log 使用dirsearch扫一下 python3 dirsearch.py -u http://challenge-e19c73ec65497ff1.sandbox.ctfhub.com:10800/ -e * 发现有git泄露,这里建议可以先学习一下Git命令 利用scrabble-master克隆下来看看 ./scrabble http://challenge-e19c73ec65497ff1.sandbox.ctf
CTFHub | 弱口令
尼泊罗河伯的博客
10-19 5675
此题目主要是了解对网站弱口令的爆破,首先查看网页,进行手工检查判断是否有网站验证码,此题没有网站验证码相对简单。那么可以使用抓包工具采用集束炸弹的方式进行暴力破解。最后检查攻击日志发现此题 flag 。
CtfHub-wp(web
01-23
Git泄露是另一个常见情况,通过`dirsearch`扫描并使用`GitHack`工具提取git历史记录,通过`git log`和`git show`命令可以获取flag。Stash功能在git中用于保存未提交的更改,使用`git stash list`查看堆栈,然后用`...
ctfhub web全部做题记录(持续跟新)
01-08
【总结】在CTF Web挑战中,了解信息泄露、备份文件、源码解析、文件后缀、vim缓存、版本控制、弱口令、SQL注入、文件上传漏洞等概念至关重要。掌握这些技能可以帮助参赛者在比赛中发现并利用安全漏洞,获取flag。...
SCZF-ZD-007 内网信息系统口令管理制度.pdf
04-11
《SCZF-ZD-007 内网信息系统口令管理制度》是一份针对涉密信息系统的安全管理规定,旨在确保信息系统的安全运行,规范用户及系统口令使用。以下是这份制度的主要内容: 1. **口令重要性**:口令是身份认证的基础...
GMT 0054-2018 基本要求(信息系统密码应用).zip
06-28
《GMT 0054-2018 基本要求(信息系统密码应用)》是针对信息系统中密码系统的应用制定的一套详细规范。这份标准旨在确保信息系统的安全性,通过科学、合理的密码技术应用,为数据加密、身份认证、完整性保护等方面...
password-generator:使用React构建的安全密码口令生成器
03-10
安全的密码/密码生成器 设定参数 选择一个秘密,任何都会做的 点击复制 祝您愉快 请分享您的反馈-让我知道此工具对您有用还是发现任何错误。 我想在将来添加其他功能。 您想看到哪些功能? 使用React构建,2019年8...
如何使用Dirsearch探测Web目录
zhangge3663的博客
03-29 1302
当渗透测试工程师执行网站渗透测试时,第一步应该是找到易受攻击的网站的隐藏目录。 这些隐藏的Web目录非常重要,因为它们可以提供一些非常有用的信息,即在面向公众的网站上看不到的潜在攻击媒介。 比较快捷的攻击方法之一就是采用暴力猜解网站目录及结构,其中包括网站中的目录、备份文件、编辑器、后台等敏感目录,为此,需要选择一个功能强大的工具。 尽管有很多可用的工具来执行站点暴力破解,包括Dirbuster或Dirb,但是它们有其自身的局限性,例如Dirbuster仅提供时钟不可行的GUI界面,并且Dirb不包括
CTFHub技能树之密码口令
qq_64948897的博客
08-07 2365
ctfhub技能树--web--密码口令(新手入门教程)
CTFHUB刷题 密码口令/弱口令
null1024的博客
09-05 4046
一、题目描述与分析 由题意,何为弱口令,指的是通常认为容易被别人(他们有可能对你很了解)猜测到或破解工具的口令均为弱口令。这里我们可以尝试暴力破解 二、解题过程 1.登入题目页面,如图 猜测需要提供2.用户名和密码,才能拿到flag,猜测用户名为admin 2.利用Burpsuite抓包 注意到 name=admin&password=123456&referer= 下面进行暴力破解 三.暴力破解 右键-->Send to...
CTFHub--弱口令
qq_46927150的博客
04-25 9561
口令 题目链接https://www.ctfhub.com/#/skilltree 通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。 点开题目场景,会看到一个管理后台的登录页面。根据“管理后台”几个字,我们可以猜测用户名为admin 接着随便输入一个密码,打开bp,抓包 选中第二条记录,右击,“Send to Intruder”,打开选项卡Intruder,点...
CTF学习第十九站——CTFHUB密码口令口令
qq_41174589的博客
10-14 479
查看源代码没有发现提示,小小的爆破一手逝逝。先抓包看请求方式,为GET。发现有一个长度不同的。输入密码得到flag。
CTFHub 密码口令
qq_58879949的博客
09-06 722
用burpsuite拦截,并用intruder进行爆破发现长度不一致的密码组合输入后得到flag。
ctfhub-web-信息泄露-弱口令/默认口令
2301_80162151的博客
02-29 481
口令是网络安全十大安全漏洞之一,所谓的口令其实就是我们的密码,而弱口令就是相对来说比较容易被破解的密码,它会对信息安全造成严重的安全隐患。弱口令我们可以简单的理解为能让别人随意就猜到的密码,比如abc、111、123、123456、88888888等等诸如此类的密码。除此之外大家都能知道的密码称之为弱口令。④口令为本人相关的名字字母,生日,易被发现的邮箱号,账号名昵称名。既然是弱口令就需要burp爆破,就在测试你密码本。既然是默认口令,在网站上是可以搜到的。将密码添加,简单输入一些弱口令密码
CTFHUB口令
evil_ming的博客
05-15 367
打开环境 试了些常用的像admin 123456之类的都显示user or password is wrong 干了,bp一下先 发送到intruder导入弱口令字典和纯数字字典然后得到密码admin123 (就离谱)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值