CTFshow-web入门信息收集(1-20)

已于 2024-08-13 17:31:54 修改
阅读量3.7k 收藏 27
点赞数 7
分类专栏: CTFshow 文章标签: 安全 web
于 2020-11-10 19:56:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_kei/article/details/109605874
版权
本文详细介绍了20个CTF(Capture The Flag)比赛中关于Web安全的信息收集技巧,涵盖查看源码、利用Burp Suite抓包、访问隐藏文件、通过robots.txt寻找线索、解压源码、Git/SVN泄露、处理vim缓存、域名解析查询、信息收集、敏感信息泄露、邮箱密码重置、查看phpinfo、分析真实IP、解码Unicode、查看JS文件、账户密码破解以及数据库文件下载等方法,每个技巧都辅以具体案例,帮助读者掌握Web安全基础技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最低0.47元/天 解锁文章
ctfshow-web-信息收集
xunyue88的博客
02-19 160
web1(F12) web2(关闭浏览器js、view-source+url、ctrl+u) web3(看不见源码就F12-network、抓包) web4(robots.txt信息泄露) web5(phps源码泄露) web6(www源码备份压缩包泄露、.rar .zip .7z .tar.gz .bak .swp .txt) web7(版本控制原源码泄露、.git) web8 (版本控制原源码泄露、.svn) web9(vim缓存泄露、第一次意外退出生成的是.swp、第二次.swo、第三次.swn)
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 1121
F12。
ctfshow 信息收集(WEB1~WEB20)
y4615184的博客
04-25 398
温故知新,复盘时应去尝试不同方法,弄懂原理! WEB 1 . 查看源码应是本能,F12 WEB 2 根据提示,有JS屏蔽,测试右键和F12无法使用,那么使用view-source:url查看源码 view-source是一种协议,早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性,对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox和Chrome浏览器都还可以使用。 如果要在IE下查看源代码,只能使用查看中的"查看源代
ctfshow-web入门——信息收集web1-web20
m0_62905745的博客
04-14 739
ctfshowweb入门信息收集——(web1-web20),自行记录的信息收集板块的题目wp和相关知识点笔记,有错误希望大家指正,一起进步!
CTF web入门信息收集
最新发布
qq_41701460的博客
04-09 420
index.phps 用于展示 PHP 代码的原始内容,而非执行代码。在默认配置下,当用户访问 .php 文件时,服务器会执行其中的 PHP 代码,并将执行结果返回给浏览器。教程:https://baijiahao.baidu.com/s?参考:https://www.cnblogs.com/Web-Fresher/p/12813816.html。**web6:**考察代码泄露 路径访问。**web9:**考察vim缓存信息泄露。**web7:**考察git代码泄露。**web10:**参考cookie。
CTFshow-WEB入门-信息搜集
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
02-11 2452
web1(查看注释1) wp 右键查看源代码即可找到flag web2(查看注释2) wp 【Ctrl+U】快捷键查看源代码即可找到flag web3(抓包与重发包) wp 抓包后重新发包,在响应包中找到flag web4(robots协议) wp 先访问robots.txt,得到线索 进而访问flagishere.txt,获得flag web5(phps源码泄露) wp 访问index.phps获得泄露文件
WEB ---- ctfshow ----- 信息收集
L0g1c的博客
06-24 726
考点是robots.txt文件、考点phps文件泄露、考察代码泄露、考察git代码泄露、考察信息svn泄露、考察vim缓存信息泄露、邮箱泄露、考察PHP探针、sql文件泄露信息第一题提示开发注释未及时删除 打开题目 没有什么按钮和输入框,直接查看源码,发现html注释中含有flag。 由于js前台拦截,无法右键,和按F12可以手动在URL前面加入还有其他方法:打开浏览器的应用程序菜单知道快捷键就不需要进行查找了方法一:通过快捷键 查看源码方法二:通过快捷键 查看源码方法三:开发者工具中 网络,响应中也可以
ctfshow信息收集(web1-web20)
m0_72125469的博客
01-20 1323
ctfshow web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20
ctfshow web入门 信息搜集
weixin_56023251的博客
07-10 529
鼠标右击查看网站源代码f12和右键被禁掉了 那就快捷键ctrl + u或者url前面加上 view-source:bp抓包发包 得到flag url后加上/robots.txt 可以看到被禁止访问的后缀,继续访问拿到flag 直接url后缀加,得到了一个文件访问/www.zip 获得源码和一个flag.txt文件 但是文件中的flag上交失败 这就牵扯到开发中的一个知识点 所以这块要访问 /fl000g.txt 得到flag 版本控制很重要,但不要部署到生产环境更重要直接url后缀加访问/.
最新CTFShow-WEB入门--信息搜集详细Wp_ctfshow web2024年最新看这篇文章就行了
2401_84264244的博客
05-13 1045
index.phps。
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 774
ctfshow-web入门-信息收集wp
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
2401_87205009的博客
09-18 439
【代码】CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
ctfshow-web入门-爆破wp
m0_53567065的博客
11-01 1268
ctfshow-web入门-爆破wp
CTFshow web入门信息收集web1-web20
小白的博客
05-10 1238
得到一个IP地址或网址时第一步:查看源码第二步:网页上查找是否有有效信息第三步:查看是否存在说明文件rotobs.txt第四步:通过御剑或dirsearch扫描探测是否存在其它页面第五步:按照网页的框架信息查看是否存在测试文件或备份文件。
ctfshow-web入门信息搜集(小宇特详解)
小宇的web博客
04-22 3837
ctfshow-web入门信息搜集 web1-源码 这个就比较简单了,直接f12去进行查看源码就找到了源码。 web2-js前台拦截 这里有4种方法,第一种方法是直接禁用JavaScript,这个就自行搜索吧。我这里说一下火狐的禁用JavaScript。 1.先开一个新的标签页,然后在Firefox的地址栏里输入,about:config , 然后按enter键进行检索。 2.这里会弹出三思而后行,直接确定,然后在搜索栏搜索javascript.enabled,这时显示的ture,然后点击右边的箭头,这时就
ctfshow--web--信息搜集
whisper921的博客
01-22 729
web4 进入链接后访问 robots.txt 得到 flag详细目录,继续访问即可获得flag web5 phps其实就是php的源代码文件,通常用于提供给用户查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。 访问index.phps,得到源码拿到flag .
CTFshow刷题日记-WEB-信息收集
Love&Share
09-02 3275
信息收集 web1 题目提示开发注释未及时删除,所以直接f12 web2 提示:js前台拦截 ctrl+u查看源代码 web3 提示:没思路的时候抓个包看看,可能会有意外收获 浏览器f12 network 但是在burp中需要发送两次 第一次是重定向 web4 提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 这都提示到这个份上了,直接访问rebots.txt即可 访问/flagishere.txt拿到flag web5 提示:phps源码泄露有时候能帮上忙 访问index.phps文
ctfshow-web入门-信息搜集(web11-20
HkD01L的博客
06-17 646
ctfshow,信息搜集,web11,web12,web13,web14,web15,web16,web17,web18,web19,web20,writeup,ctf
ctfshow web入门(SSRF)
Blazing-Angel的博客
07-19 1152
ctfshow
ctfshow-web入门
01-19
### CTFShow Web 入门教程与资源 #### 图片中的隐藏后门代码 在处理CTF挑战时,有时会遇到图片中嵌入的恶意代码或后门。这类攻击通常利用图像文件格式的特点,在不影响视觉效果的前提下植入可执行代码。为了检测此类漏洞,可以使用工具如Wireshark抓包分析网络传输数据,或者通过十六进制编辑器(例如010 Editor)查看二进制内容[^1]。 ```bash # 使用010Editor打开可疑图片文件并查找异常字符序列 $ 010editor image.png ``` #### 构造命令执行Payload 对于存在命令注入风险的应用程序,可以通过精心设计输入参数来触发特定行为。比如在一个假设场景下,如果服务器端未对用户提交的数据做充分验证,则可能允许攻击者绕过安全机制执行任意指令。下面展示了如何构建用于测试目的的有效载荷: ```php <?php // 测试用PHP代码片段模拟远程命令执行 $c = $_GET['c']; exec($c, $output); echo implode("\n", $output); ?> ``` 实际操作时应谨慎对待任何涉及系统调用的功能,并确保只针对授权环境开展实验性活动[^2]。 #### PHP随机数生成函数反向工程 某些情况下,了解目标应用内部工作原理有助于找到解决方案路径。以PHP为例,其内置伪随机数发生器`mt_rand()`依赖于初始状态——即种子值。当知道部分输出结果时,可通过逆向工程技术恢复原始种子,进而预测后续产生的数值系列。开源项目提供了实现这一过程所需的算法和编译方法[^3]。 ```cpp #include "php_mt_seed.h" int main() { // 示例:基于已知MT输出还原种子 unsigned long mt_output[] = { /* 已知的一组连续输出 */ }; int seed; find_mt_seed(mt_output, sizeof(mt_output)/sizeof(*mt_output), &seed); printf("Recovered Seed: %d\n", seed); return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值