CTFHub -- 信息收集-目录遍历

最新推荐文章于 2024-01-26 10:30:00 发布
最新推荐文章于 2024-01-26 10:30:00 发布
阅读量1.8k 收藏
点赞数 2
分类专栏: 信息安全 文章标签: python web安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52920608/article/details/122582407
版权

CTFHub – 信息收集-目录遍历

点进来这个页面,进去后随便点点发现flag.txt.这里也没有坑,直接就是
在这里插入图片描述在这里插入图片描述

这里我为了练习哈最近学的request。代码:

# -*- coding = utf-8 -*-
# @Time : 2022/1/19 14:49
# @Author : WXY
# @File : UrlTest.py
# @SoftWare : PyCharm
import requests
from fake_useragent import UserAgent #随机生成UA头

# 2.UA伪装
headers = {
    'User-Agent': str(UserAgent().random)
}


def catch_flag():
    for i in range(1,5):
        for j in range(1,5):
            url = 'http://challenge-7323dc11cad5aca7.sandbox.ctfhub.com:10800/flag_in_here/' + str(i) +'/'+str(j)
            response = requests.get(url=url, headers=headers)
            response.encoding = 'utf-8'
            file = response.text
            if "flag.txt" in file :
                url = url+'/flag.txt'
                print(url)
                return url



def main():
    flag = requests.get(url=catch_flag(), headers=headers).text
    print(flag)


if __name__ == '__main__':
    main()

运行结果:
在这里插入图片描述

XXX_WXY
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
3. 信息收集(目录)
Sumarua的博客
06-29 394
3. 信息收集 内容索引: 3.1. 网络整体架构 3.2. 域名信息 3.2.1. Whois 3.2.2. 搜索引擎搜索 3.2.3. 第三方查询 3.2.4. ASN信息关联 3.2.5. 域名相关性 3.2.6. 网站信息利用 3.2.7. 证书透明度 3.2.8. 域传送漏洞 3.2.9. Passive DNS 3.2.10. 泛解析 3.2.11. 重要记录 3.2.12. CDN 3.2.
信息收集目录扫描
锦衣
09-12 149
参考文章:https://blog.csdn.net/l1028386804/article/details/85757875 https://blog.csdn.net/somnuszhigang/article/details/88122473 信息收集目录扫描 一、工具爆破 御剑、DirBuster+使用、 使用字典跑破网站目录目录存在返回200状态码 二、探测网站robots.txt文件寻找隐藏目录 探测网站robots.txt发现隐藏目录,然后工具跑的时候加上去就可以了 三、Github文.
CTFHub技能树 目录遍历
orchid_sea的博客
05-24 395
简单记录一下过程 目录遍历查找flag(每次flag位置不同)
CTF 题目信息收集
Senimo
03-28 1793
CTF 题目信息收集信息收集分类敏感目录泄露git泄露 信息收集 在线上CTF比赛Web类题目中,信息收集涵盖的面非常广,同时非常重要。 分类 敏感目录泄露 通过泄露的敏感目录,可以获取网站的源代码和敏感的URL地址,如后台地址等。 git泄露 漏洞简介: git是一个主流的分布式版本控制系统,在开发过程中,可能会遗忘.git文件夹。从而导致提交过的所有代码被泄露。 漏洞危害: 若文件中包含有敏感信息,如站点源码、数据库账户密码等,攻击者可直接控制服务器。 .git文件夹分析: // 文件夹 hook
目录遍历及敏感信息泄露原理及案例
weixin_43534549的博客
06-10 2326
一、目录遍历概述 1. 2.操作案例 输入http://127.0.0.1/pikachu/vul/dir/dir_list.php?title=../../../../../../../../../../../../../../../../../ect/passwd 页面跳转至根目录下 二.敏感信息泄露概述 查看页面源码,发现敏感信息暴露出来了 输入用户信息:lucy/123456 ...
CtfHub-wp(web
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
ctf-all-in-one
最新发布
01-30
ctf-all-in-one
CTF-Write-up:CTF撰写和信息
03-21
3. **信息收集**:描述如何收集关于挑战的关键信息,这可能包括从题目描述中提取线索,或者使用网络扫描工具如Nmap发现服务端口和开放端口。 4. **漏洞分析**:详细解释发现的漏洞类型及其原理,例如SQL注入、XSS跨...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF中常见信息搜集学习总结
i8o6o6的博客
11-28 4658
信息搜集的必要性:在线上解题时,信息搜集可以帮助我们建立解题思路,发现解题方向。 0.题目描述 其实最主要的还是题目描述里的信息,不然没法做题,用心读题才能把题做好。 1.页面源代码 这个就不用多说了,现在基本上打开题目就是习惯性地按F12,抓包看源码。 源码里面可能会发现一些JS脚本代码、注释掉的标签信息、在图片标签的src属性里可能会发现网站后台的路径等等。 2.敏感文件泄露 ①robots.txt 当我们在搜索引擎上打上内容点击搜索的时候,搜索引擎靠一个叫robot的程序.
信息收集(七)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-16 798
目录扫描可以让我们看到这个网站存在多少目录,多少页面,探索出网站的整体结构。通过目录扫描我们还可以扫描敏感文件,后台文件,数据库文件,和信息泄露文件,等等。
CTFHub技能树-目录遍历
u013622866的博客
03-13 5169
嘿嘿,学了一段时间的运维,最后还是决定回来试试网络安全,所以还是从基础开始记录,希望大佬别踩我......比♥ CTFHub也是刚起的一个平台,是一个从基础开始的平台,比较适合我这种小白,嘿嘿. 打开靶机 访问靶机 发现只有一个点击查找flag,我还是决定 F12 一下,结果是啥也没有,尽管没有什么收获,但是还是意识还是要有的对吧..嘿嘿 点开点击查找flag后发现,是apac...
40. CTFHub Web_信息泄露(一)
__Qian的博客
03-20 1582
注意:flag提交不成功原因可能有: (1)你提交的flag的首尾处可能有空格清除掉即可; (2)代理没有关掉,故提交不成功; 1.目录遍历 1.打开链接后,出现以下界面 2.点击按钮后,出现以下页面 3.尝试每个文件都点进去后会发现某个目录下存在flag.txt,点开即可获取flag值 (注:这里的1,2,3,4目录下打开后每个目录下还存在着1,2,3,4四个目录,所以点的时候注意是在哪个目...
【burpsuite安全练兵场-服务端3】目录遍历漏洞-6个实验(全)
xnxqwzy的博客
01-26 979
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
CTFHub——Web技能树
mcmuyanga的博客
01-23 761
CTFHub Web 网上收集的资料,本地上传,原文链接丢失,只是整理了一下,记录一下做题过程, 信息泄露 目录遍历python脚本找一下flag.txt的路径 import requests url = "http://challenge-9360ebe6745e6c45.sandbox.ctfhub.com:10080/flag_in_here/" for i in range(5): for j in range(5): url_test =url+"/"+s
ctf random 2017-赛客夏令营-Web-random
m0_60955130的博客
12-16 140
试题是这样的,这个网页会产生一个随机数,然后让你预测下一个随机数,很显然如果预测正确就会获得flag,那么我们如何预测一个随机数,我的想法就是猜测,当然如果靠人一次次猜测显然很难猜中,那么我就通过一个循环不停的产生随机数直到某一次他与页面所产生的随机数相同我们便可以获得falg,那么下面我们就通过python去的random库和requests库来实现这一功能。可以看到请求的方式是get那么我们有了这些信息就可以去编写代码了。首先我们先简单的写一个发送请求并打印返回信息的脚本。首先我们线观察一下网页。
CTFhub平台题解(技能树 彩蛋部分)二
weixin_43896279的博客
03-06 874
继上次彩蛋部分陷入困惑 在一位大佬指点下 有了头绪 万分感谢大佬,我在这里给一些朋友提醒 在上文中我们提到了 flag[0:18] 然后flag[42:48]在下载的示例中可以看到经aes加密后的密文 然后经过解密我们可以看到flag[42:48] 这里提一下注意把输出格式换成hex 要不然解密不出来 在题目提交网页里 有这样一个图片 我们保存到本地 然后用世界上最好用的记事本打开...
CTF_EXP04:2017 赛客夏令营 Web-random
Senimo
10-13 650
CTF_EXP04:2017 赛客夏令营 Web-random 创建环境,启动靶机: 根据题目名称与页面提示,判断此题为随机验证下一个数字的值 看到题目链接: http://xxx.ctfhub.com:10080/index.php?num=1 其通过GET方式传递参数num 编写Python脚本: import requests import re url = 'http://xxx/index.php?num=22' while True: try: r = reques
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XXX_WXY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值