CTFHUB-网站源码

已于 2023-03-21 20:00:49 修改
阅读量4.1k 收藏 17
点赞数 11
分类专栏: CTFHUB-Web 文章标签: 网络安全 web安全
于 2022-11-06 15:48:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73802738/article/details/127715856
版权

题源:CTFHub​​​​​​

当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。

本题可用四种方法:dirsearch,python,burpsuite,御剑。

方法一:dirsearch

python3

dirsearch 暴力扫描网页结构(包括网页中的目录和文件)

下载地址:https://gitee.com/xiaozhu2022/dirsearch/repository/archive/master.zip

下载解压后,在dirsearch.py文件窗口,打开终端(任务栏cmd 或 右击打开快捷菜单)

安装:pip install dirsearch

使用:diresearch -u http://example.com/ -e *

-u:url

-e:扩展名列表,用逗号隔开(例如:php,asp)

查看返回值,大部分都是503,返回200的表示可以访问

url/www.zip,下载文件

下载来的文件并没有明文,表题带有flagxx.txt,下载来的压缩包可能是备份文件,网页存在真正的文件

所以尝试在网页上打开文件

方法二:python

python版本3.8.10

import requests

url1 = 'url'

# url为被扫描地址

list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']

list2 = ['tar', 'tar.gz', 'zip', 'rar']

for i in list1:

    for j in list2:

        back = str(i) + '.' + str(j)

        url = str(url1) + '/' + back

        print(back + '    ', end='')

        print(requests.get(url).status_code)

方法三:burpsuite

百度网盘:

链接:https://pan.baidu.com/s/1eyiPiWVgQAA_R_8OZDVoqA 
提取码:seck

包括了burpsuite 2020.12 和 Java15 来源:雾晓安全

bp抓取网页包,发送到Interder

在GET/后添加两个负载,一个文件名,一个扩展名

爆破文件名

爆破扩展名

这里需要添加一个后缀:.(点)

开始攻击,就爆破出来了

方法四:御剑

百度网盘:

链接:https://pan.baidu.com/s/1r2yipJMYbCGwlJDqetohPw 
提取码:seck

操作:设置好域名,选择好各项参数,开始扫描

其实把源库扫描完了都没有找到,是我自己加的。可以试着扫一下。

「已注销」
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
git-hub-tutrial-源码
03-29
git-hub-tutrial
ctfhub web全部做题记录(持续跟新)
01-08
【备份文件下载】备份文件往往包含有价值的信息,如网站源码。可以尝试爆破常见的备份文件名,如`.tar`, `.tar.gz`, `.zip`, `.rar`等,或者使用自动化工具如`dirsearch`进行目录扫描。 【源码解析与爆破】如果源码...
CTFHUB-WEB-备份文件下载/网站源码
carrot11223的博客
10-27 96
我们发现www.zip比较有希望,拼接到路径后访问:http://challenge-1616aa5af65d332e.sandbox.ctfhub.com:10800/www.zip,下载之后有个flag.txt,欢喜的打开,flag一定在这里!结果啥也没有,只有一句挑衅的话“where is flag?我们直接在路径后拼接对应的文件名试试:http://challenge-1616aa5af65d332e.sandbox.ctfhub.com:10800/flag_2145323237.txt。
CTFHub | 网站源码
尼泊罗河伯的博客
10-04 1820
根据题目介绍,这题应该是访问网站目录可以查看到泄露的备份源码,一开始使用手工随机试了几个看看能不能运气好直接查到,最后还是选择写了个小脚本。
CTFHub:web前置技能-信息泄露-备份文件下载-网站源码
最新发布
wdnmddbl的博客
06-06 1008
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:链接:我是一个知识点链接:我是一个知识点链接:我是一个知识点这里提供我使用的两种方法,python和dirsearch大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。
CTFHUB 网站源码
qq_75120258的博客
09-23 358
题目:当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。这道题是关于网站源码备份文件名后缀和备份文件名的,ctrl+u查看源代码,什么都看不出来,直接用bp抓包。
[CTFHub]网站源码web>信息泄露>备份文件下载)
ZXW_NUDT的博客
04-30 2618
首先先写一串代码扫描一下这个 (我建议这个使用KALI去做这道题) import requests url="http://challenge-b57d6c6579149fc2.sandbox.ctfhub.com:10080/" list1=['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp'] list2=['tar', 'tar.gz', 'zip', 'rar'] for i in list1: for j in lis.
CTFHub-信息泄露
orchid_sea的博客
07-17 1048
DS_Store是MacOS保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。每次开启环境时,flag文件的位置会有变动,只要根据目录遍历的思路去找就好了。存在两层目录,且目录下的命名一致,容易误导,根据一层一层查看的方式去遍历。windows不行,下载下来的文件打开里面没有有效信息。flag存在的位置可能不同,去依次寻找就好了。使用该扫描工具时,要管理员权限,不然会报错。直接查看文本没有flag,去访问试试。根据提示,下载网站源码压缩包。...
DVWA靶场通关和源码分析
Aiwin的博客
02-09 1182
DVWA靶场全通关和源码分析
controller-hub-源码.rar
10-10
这个名为"controller-hub-源码.rar"的压缩包文件,很可能是包含了Controller-Hub相关软件的源代码,为我们提供了深入了解其工作原理的机会。本文将围绕Controller-Hub的概念、功能以及相关源码分析展开,以期揭示其...
java红酒网站源码-ctf-katana:ctf-武士刀
06-05
java网站源码CTF-武士刀 约翰哈蒙德 | 2018 年 2 月 1 日 在撰写本文时,此存储库将仅托管可能有助于解决 CTF 挑战的工具和命令列表。 我希望将其保留为“实时文档”,理想情况下它不会像我制作的旧“工具”页面 () ...
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
ctf竞赛ctf
08-07
ctf 实验步骤 
java采购系统软件源码-burp-rest-api:BurpSuite安全工具的REST/JSONAPI
06-05
java采购系统软件源码打嗝-休息-api 概述 安全工具的 REST/JSON API。 自 2016 年首次提交以来, burp-rest-api一直是 BurpSuite 支持的 Web 扫描自动化的默认工具。 许多安全专家和组织都依赖这个扩展来协调 Burp Spider 和 Scanner 的工作。 入门(或“如何运行 burp-rest-api”) 下载最新的burp-rest-api JAR(例如burp-rest-api-2.1.0.jar )和启动器burp-rest-api.{sh,bat}脚本从 将它们放在具有原始 Burp Suite Professional JAR(例如burpsuite_pro_v2020.2.1.jar )的目录中。 请注意,实际的 JAR 文件名并不重要,因为启动器将在类路径中包含所有 JAR 在 Linux 和 Mac 上,使用chmod +x burp-rest-api.sh将启动器标记为可执行文件 使用./burp-rest-api.sh或./burp-rest-api.bat引导系统,具体取决于操作系统 配置 默认情况下,Bur
ctfhub:一些用于CTF环境的Docker
05-14
CTFhub — 基于Docker的CTF学习环境0x00 前言CTFhub是面向所有学习CTF的朋友的环境,不用了解docker原理及知识,仅仅简单执行几条命令即可完成整个平台的搭建。0x01 搭建环境使用CTFhub中的环境的前提条件需要在本地...
ctfhub技能树—信息泄露—备份文件下载
Naptmn的博客
02-06 1317
ctfhub技能树—信息泄露—备份文件下载 1、网站源码 当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 打开题目后里面给到的提示 常见的网站源码备份文件后缀 tar tar.gz zip rar 常见的网站源码备份文件名 web website backup back www wwwroot temp 发现www.zip 下载即可 2、bak文件 当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引
CTFHub技能树 Web-信息泄露 bak文件
Senimo
12-22 998
CTFHub技能树 Web-信息泄露 bak文件 hit:当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 启动环境: 页面给出提示:flag在index.php页面的源码中 浏览器访问/index.php.bak,下载得到index.php页面的备份文件 将其文件类型修改为.php,打开获得源码: <!DOCTYPE html> <html> <head> <title>CTFHub 备份
CTF基础知识及web
m0_60484735的博客
04-21 7810
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录CTF基础知识一、CTF简介二、CTF赛事介绍三、CTF竞赛模式1.解题模式(Jeopardy)2.攻防模式(Attack-Defense)3.混合模式(Mix)四、CTF竞赛内容国内外著名赛事1、国际知名CTF赛事2、国内知名CTF赛事五、如何学习CTF1、分析赛题2、常规操作3、入门知识推荐书籍 CTF基础知识 一、CTF简介 CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行.
CTFHubweb基础刷题记录
bmth666的博客
03-12 3155
CTFHub之从入门到入土。第一部 信息泄露全方位解析+密码泄露wp
ctfhub备份文件
09-03
ctfhub备份文件可能包括网站源码的备份文件和vim编辑器中的交换文件。网站源码的备份文件通常具有常见的备份文件名和后缀,例如.bak文件。你可以使用Burp Suite工具来发送链接并抓取备份文件,然后查找flag。在vim编辑器中,使用文件名前缀为"."的交换文件来备份编辑过的文件内容,例如.index.php.swp。可以使用vim-r插件来查看和恢复交换文件。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfhub web全部做题记录(持续跟新)](https://download.csdn.net/download/weixin_38682790/14045490)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [CTFHub技能树——备份文件下载](https://blog.csdn.net/weixin_59480274/article/details/124187053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [CTFHub技能树之备份文件下载(胎教级解析)](https://blog.csdn.net/qq_64948897/article/details/126089587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值