CTFShow Web入门_信息搜集

最新推荐文章于 2022-07-10 11:20:45 发布
最新推荐文章于 2022-07-10 11:20:45 发布
阅读量4.7k 收藏 5
点赞数 1
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19533763/article/details/123910843
版权

Web1

image-20220314225911075

右键查看源代码

image-20220314225935080

发现falg

Web2

image-20220314230516946

发现无法右键

使用BP抓包刷新抓取数据包放到重放器发送数据包

image-20220314230633907

拿到flag

也可以使用火狐浏览器右上角菜单更多工具中的Web开发者工具

image-20220314231209183

image-20220314231126090

image-20220314231233391

Web3

image-20220314231700848

老样子用BP抓包看下

返回包中发现flag

image-20220314231738223

Web4

在url后加上/robots.txt查看爬虫文件

image-20220314232149792

发现一个文件

访问

image-20220314232215855

出现flag

Web5

image-20220315171803308

phps源代码泄露

访问index.phps

image-20220315171853386

image-20220315171858003

最低0.47元/天 解锁文章
F4tty
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3657
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
CTFshow web入门 信息收集
Sentiment的博客
11-17 480
web1 F12直接出 web2 禁用右键,F12还是可以看到源码 web3 这次后台没有源码了,火狐看响应头发现flag web4 题目提示robots协议,访问robots.txt 访问flagishere.txt web5 题目提示phps源码泄露,访问index.phps下载源码 web6 题目提示解压源码到当前目录,猜测为www.zip访问下载解压,提示fl000g.txt,访问得到flag web7 版本控制器,不是git泄露就是svn泄露 此题通过访问/.git/获得flag
ctfshow web入门信息收集
weixin_63290123的博客
04-02 3298
ctfshow tour
CTF SHOW web入门 信息收集
qq_45796470的博客
11-16 576
CTF SHOW web入门 信息收集 正文 (每一个代码块就是一个题的知识点,题序正常)()里的表示题目信息 1、(开发注释未及时删除) 2、(js前台拦截 === 无效操作) 查看源代码:通过在url头部添加 view-source: 3、简单burpsuite抓包 flag在响应数据包里面 4、(把后台地址写入robots了。) 考点是robots.txt文件,直接访问url/robots.txt获得flag 5、(phps源码泄露。) 直接访问index.phps。phps文件就是ph
CTFshow-web入门-信息搜集
qq_51439282的博客
10-11 5365
web1 源码 此题直接使用F12查看源码即可获得flag web2 js前台拦截 右键和F12都无法查看源码,但是他只有前端的限制,我们可以通过禁用javascript或者通过bp抓包获得flag 通过Ctrl+u或者在url前面添加view-source:也可获得flag web3 响应头 通过bp抓包查看Response中的Headers即可获得flag web4 robots.txt 根据提示访问robots.txt,发现flagishere.txt 接着访问flagishere.t
CTFSHOW web193 left标注盲注脚本
05-04
其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,包括数据库名、表名、列名和 flag 的值。在获取每个字符时,它会枚举 flag 可能的字符,逐个尝试,直到找到正确的字符为止。最终,它会输出获取到的...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
ctfshow web入门 信息搜集
weixin_56023251的博客
07-10 449
鼠标右击查看网站源代码f12和右键被禁掉了 那就快捷键ctrl + u或者url前面加上 view-source:bp抓包发包 得到flag url后加上/robots.txt 可以看到被禁止访问的后缀,继续访问拿到flag 直接url后缀加,得到了一个文件访问/www.zip 获得源码和一个flag.txt文件 但是文件中的flag上交失败 这就牵扯到开发中的一个知识点 所以这块要访问 /fl000g.txt 得到flag 版本控制很重要,但不要部署到生产环境更重要直接url后缀加访问/.
ctfshow WEB入门 信息收集 1-20
weixin_52829570的博客
12-09 2027
web1 题目:开发注释未及时删除 查看页面源代码即可 web2 题目:js把鼠标右键和f12屏蔽了 方法一: 禁用JavaScript 方法二: url前面加上view-source: web3 题目:抓个包试试 抓包在请求包发现flag web4 题目:总有人把后台地址写入robots 访问robots.txt后得到后台地址,访问得到flag web5 题目:phps源码泄露 访问index.phps下载源码拿到flag web6 题目:解压源码到当前目.
ctfshow web入门信息收集1-20)
m0_50317371的博客
11-28 1313
web1 **解题思路:**F12打开开发调试工具或者直接查看代码,即可得到flag。 flag{b971df3e-4760-42fd-ab0c-fe7bd9c644c7} web2 **解题思路:**ctrl+u或者在url前加上view-source:查看网页源代码即可得到flag。 flag{1d08f14d-148e-4f00-ab1a-69663bd252b8} web3 **题目提示:**没思路的时候抓个包看看,可能会有意外收获。 **解题思路:**根据题目提示打开Burp Suit
ctfshow-web入门信息搜集(小宇特详解)
小宇的web博客
04-22 3705
ctfshow-web入门信息搜集 web1-源码 这个就比较简单了,直接f12去进行查看源码就找到了源码。 web2-js前台拦截 这里有4种方法,第一种方法是直接禁用JavaScript,这个就自行搜索吧。我这里说一下火狐的禁用JavaScript。 1.先开一个新的标签页,然后在Firefox的地址栏里输入,about:config , 然后按enter键进行检索。 2.这里会弹出三思而后行,直接确定,然后在搜索栏搜索javascript.enabled,这时显示的ture,然后点击右边的箭头,这时就
CTFshow_WEB入门_信息搜集——web1~web20
Ho1aAs‘s Blog
10-30 635
文章目录一、web1~4二、web5~8三、web9~12四、web13~16五、web17~20完 一、web1~4 ·web1 flag在HTML注释里,使用F12审查元素或Ctrl+U查看源码 ·web2 flag在HTML注释里,前端js阻止打开F12审查元素,可以进入浏览器界面将环境的URL添加进JavaScript阻止站点后再使用F12审查元素,或是直接Ctrl+U查看源码 ·web3 抓包,flag在包头Header里面 ·web4 访问/robots.txt,找到/flagishere.ph
index.php ctf,index.php
weixin_33734005的博客
03-19 280
/*** Author: Porlock* Link: www.porlockz.com* Date: 2018-03-30 16:32:43* Last Modified time:* 1.未登录时,引入未登录header* 2.登陆后,引入已注册header* —————————————未完成—————————————*/session_start();require_once ('init....
ctf读取index.php,CTF/CTF练习平台-flag在index里【php://filter的利用】,ctf-flag
weixin_36121078的博客
03-10 1716
CTF/CTF练习平台-flag在index里【php://filter的利用】,ctf-flag原题内容:http://120.24.86.145:8005/post/Mark一下这道题,前前后后弄了两个多小时,翻了一下别的博主的wp感觉还是讲的太粗了,这里总结下自己的理解:首先打开这道题,页面只给你click me? no点击进去显示test5第一步,查看源代码,无果第二步bp,无果结合到题目...
20220130---CTF WEB方向刷题WP-----网页初始index.php/robots.txt
qq_51550750的博客
02-01 1896
练习靶场—攻防世界 更多CTF靶场整理见 https://blog.csdn.net/qq_51550750/article/details/122748075 CTF WEB方向刷题WP—攻防世界—高手进阶场001–baby_web----考察网页初始index.php 题目描述:想想初始页面是哪个 网址:http://111.200.241.244:61887 访问http://111.200.241.244:61887 会直接跳转到http://111.200.241.244:61887/
ctf hub vim缓存
plant1234的博客
03-31 2055
vim缓存: 根据题目启动环境: 可知是vim缓存,利用vim缓存知识: 使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除。vim异常退出后,因为未处理缓存文件不会被删除,可以通过缓存文件恢复原始文件内容以 index.php 为例: 第一次vim会创建缓存的交换文件名为 .index.php.swp, 再次意外退出后,将会产生名为 .index.php.swo 的交换文件, 第三次产生的交换文件则为 .index.php.swn。 所以利用:.index.php.swp查看目录 得到ind
ctfshow web2_故人心
最新发布
10-07
ctfshow web2_故人心是一个CTF (Capture The Flag)比赛中的一个网页题目。根据提供的引用,可以看出这是一个PHP代码,其中使用了一些序列化和反序列化的操作。在代码中,如果传入的密码参数为'yu22x',则会包含flag....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值