CTF中的信息收集常见姿势

最新推荐文章于 2024-07-16 17:11:54 发布
最新推荐文章于 2024-07-16 17:11:54 发布
阅读量243 收藏 1
点赞数
文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/123074790
版权

前端

  1. 查看源代码
    1. 检查注释
    2. href、src、action属性
    3. 隐藏的表单数据
  2. js代码审计
    1. js特殊编码

目录扫描

  1. 源码泄漏
    1. 备份文件
    2. .git
    3. .hg
    4. .svn
    5. vim缓存泄漏
  2. 敏感目录泄漏
    1. robots.txt
    2. .DS_Store
    3. 其他常见敏感目录

Google Hacker

聪明的使用搜索引擎能够让你发现更多的信息

b1ackc4t
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络安全学习笔记-CTF信息收集
qq_27565603的博客
05-18 1202
CTF信息泄露 当我们访问web页面时,常常会出现相关的个人信息,比如邮箱、电话、地址等等。在CTF的比赛,出题人可能会故意留给我们一些重要信息,多见于cookie、源代码、请求头、响应头CTF文件泄露 扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 常见扫描器—Dirsearch:dirsearch是一个py
CTF上的信息收集
weixin_45130489的博客
10-31 430
git常规泄露 工具:scrabble(在Github上) 使用方法:./scrabble http://example.com/ 1.git回滚 原理:git会记录每次提交commit的修改,这时可以利用git的“git reset”命令来恢复到以前的版本。 先利用scrabble工具获取源码,再用过“git reset-hard HEAD^”命令跳到上一版本 另一种方法: 通过“git log-stat”命令查看每个commit修改了哪些文件,再用“git diff HEAD commit-id”比较在
ctfshow 信息收集(1-20)
最新发布
m0_74402888的博客
07-16 1324
知识点:php探针是用来探测空间、服务器运行状况和PHP信息用的,探针可以实时查看服务器硬盘资源、内存占用、网卡 流量、系统负载、服务器时间等信息。输入URL/tz.php 即可打开雅黑PHP探针。默认后台地址:http://your-domain/system1103/login.php。mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。题目描述:“对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露”,直接访问url/index.php.swp。
CTF-信息收集
weixin_44770698的博客
06-22 2518
ctfshow-web信息收集部分WP
CTF学习之信息搜集
DMHY123的博客
09-25 857
CTF基础信息搜集
基于ctfshow的CTF专题——信息收集
rui_D的博客
05-12 749
基于ctfshow的CTF专题——信息收集 源代码 web1(ctfshow) 题目描述:开发注释未及时删除 查看源代码 ctfshow{9287a906-6d8e-446b-bf9e-f22294a94603} web19(ctfshow) 题目描述:密钥什么的,就不要放在前端了 先尝试用户名:admin,密码:admin,显示错误 根据提示,密钥在前端,查看源代码发现 代码审计: 用POST传递参数username和pazzword username=admin pazzword=a599ac
CTFWeb各种题目的解题姿势PPT模板
02-21
CTFWeb各种题目的解题姿势PPT模板
CTF比赛常见题型-适合初学者
08-17
CTF比赛常见题型--适合初学者
CTF常见的编码和加密总结
09-07
CTF 的编码和加密是最常见的一类题,这篇文章总结了一些常见的编码和加密方法,希望能够给大家一个参考。 CTF 的编码可以分为多种类型,如 ASCII 编码、Base64/32/16 编码、shellcode 编码、Quoted-printable ...
CTF比赛常见题型
11-13
CTF比赛常见题型目录,给初学者提供学习方向。CTF(Capture The Flag)文一般译作夺旗赛,在网络安全领域指的是网络安全技术人员之间进行技术竞技的一种比赛形式。
CTFSQL注入常见题型整理.pdf
02-11
### CTFSQL注入常见题型整理 #### 前言 在网络安全竞赛(CTF,SQL注入是常见的攻击手法之一。通过对网站输入的数据进行构造,攻击者可以利用SQL注入漏洞获取敏感数据,甚至控制整个数据库。本文将详细介绍...
CTF从零到一 信息搜集
山兔的博客
09-13 229
一、敏感目录泄露 熟练掌握git泄露 git:主流的分布式版本控制系统,里面有开发者提交的所有源码。 这种题目一般用工具去获取。 git的使用方法: cat flag.php //查看文件 git reset --hard HEAD^ //跳到上一个版本 git log -stat //查看每个commit修改了那些文件 SVN:源代码版本管理器。 管理员操作不规范,把SVN文件暴露与外网环境,可以用.svn/entries或者wc.
CTF信息收集
WenZhongxiang
10-07 432
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。它可以让开发者们在这里托管自己的代码,并进行版本控制,是全球最大的源代码托管网站之一。信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。端口扫描常用扫描工具。
CTF | 信息收集
m0_60651303的博客
07-14 289
在linux隐藏文件最前面是.,网站管理员可能没有删除.git隐藏文件。1、用御剑扫一下判断是什么东西泄露,.git泄露、.svn泄露。若源码什么都没有,使用浏览器自带网络工具或BP查看一下数据包。总有人把后台地址写入robots.txt,泄露部分网站目录。直接访问url/index.php.swp。直接访问url/.git。访问index.php。2、vim缓存信息泄露。
CTF信息收集
chun_gong的博客
05-24 499
信息收集的分类 前期的题目信息搜集可能对于解决CTF线上比赛的题目有着非常重要的作用,下面将从敏感目录、敏感备份文件、Banner识别三方面来讲述基础的信息搜集 , 以及如何在CTF线上,比赛发现解题方向。 1.1敏感目录泄露 1.1.1git泄露 (1)常规的git泄露 既没有任何其他操作,可以通过运用现场的工具或者自己编写的脚本即可获取网站源码或者flag。这里推荐一个工具:https://github.com/denny0223/scrabble 使用方法: ./scrabble htt
CTF常见信息搜集学习总结
i8o6o6的博客
11-28 4713
信息搜集的必要性:在线上解题时,信息搜集可以帮助我们建立解题思路,发现解题方向。 0.题目描述 其实最主要的还是题目描述里的信息,不然没法做题,用心读题才能把题做好。 1.页面源代码 这个就不用多说了,现在基本上打开题目就是习惯性地按F12,抓包看源码。 源码里面可能会发现一些JS脚本代码、注释掉的标签信息、在图片标签的src属性里可能会发现网站后台的路径等等。 2.敏感文件泄露 ①robots.txt 当我们在搜索引擎上打上内容点击搜索的时候,搜索引擎靠一个叫robot的程序.
ctfshow_信息收集
qq_45951598的博客
02-07 648
文章目录WEB1WEB2WEB3WEB4WEB5WEB6WEB7WEB8WEB9WEB10WEB11WEB12WEB13web14WEB15WEB16_探针WEB17_IPWEB18_查看js代码WEB19_前台js绕过WEB20 WEB1 F12查看源代码 WEB2 禁用javascript WEB3 用burp抓包 WEB4 访问robots.txt WEB5 phps文件泄露,访问index.phps WEB6 www.zip文件泄露,访问得flag WEB7 .git泄露,访问.git WEB8 .
ctf-web-信息收集
m0_74830262的博客
05-06 514
admin是administer的缩写,也就是说,它是一个管理员账号,对于每一台电脑ip来说,它都有一个administer账号,这个账号拥有着管理电脑的最高权限,也被叫做系统管理员。SQL 的范围包括数据插入、查询、更新和删除,数据库模式创建和修改,以及数据访问控制。接着我们访问index.phps文件,发现跳转的正是当前页面,因此猜测成立!,然后再URL后添加/www.zip对网站主页源码进行下载,然后进行解压。查看源代码,查看js文件,查看flag的条件,去通过uncode解码。
CTF的信息搜集
qq_40909772的博客
11-09 682
文章目录一、敏感目录泄露。1.git泄露(1)常规的git泄露(2)git回滚2.SVN泄露3.HG泄露4.目录扫描工具。二、敏感备份文件。1.gedit备份文件2.vim备份文件3.常规文件三、Banner识别 一、敏感目录泄露。 1.git泄露   在开发过程经常会遗忘.git文件夹,导致攻击者可以通过.git文件夹的信息获取开发人员提交过的所有源码。 (1)常规的git泄露 利用工具:https://github.com/denny0223/scrabble 利用方法:./scrabble ht
ctf常见图片隐写
09-02
CTF(Capture The Flag,夺旗赛)是一种网络安全竞赛,其涉及到图片隐写术的应用。图片隐写是一种将信息隐藏在图像的技术,使得除了原本的图像外,其他人很难察觉到存在着隐藏的信息。 在CTF常见的图片隐写术包括: 1. LSB隐写:最常见的图片隐写术之一,通过修改图像像素的最低有效位来隐藏信息。这种方法对于人眼来说几乎不可察觉,而且可以应用于不同的图片格式。 2. 色彩平面隐写:将隐藏信息分散在各个色彩平面上,通过修改色彩通道的最低有效位来隐藏信息。相比于LSB隐写,这种方法在保持图像视觉质量的同时使得隐藏的信息更难被发现。 3. 频域隐写:利用图像的频域信息,如傅立叶变换等,将隐藏信息嵌入图像。通过对频域进行操作,隐藏的信息可以更加难以被探测到。 4. 容器隐写:将隐藏信息嵌入到图片文件的非图像数据部分,如EXIF信息、文件尾端等。这种方法可以绕过对图像本身的修改检测。 5. 混合隐写:结合多种隐写术的方法,将隐藏信息嵌入图像。例如,可以先通过LSB隐写将信息嵌入到图像,然后再通过频域隐写对图像进行处理。 在CTF比赛,参赛选手可能需要进行图片隐写的解密任务,以获取隐藏的信息。他们可以使用各种工具和技术来查看和修改图像,以寻找隐藏的信息。常用的图片隐写相关工具包括Steghide、Stegsolve等。另外,了解常用的隐写术原理,对于解决隐写任务也是非常有帮助的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值