bugku-writeup-Web-source

最新推荐文章于 2024-05-02 12:46:32 发布
最新推荐文章于 2024-05-02 12:46:32 发布
阅读量406 收藏 1
点赞数 2
分类专栏: 信息安全 wp 文章标签: gobuster git linux ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22597955/article/details/118568067
版权

题目:source

工具:gobuster

01—安装gobuster

安装教程:https://blog.csdn.net/qq_22597955/article/details/118553139?spm=1001.2014.3001.5501

02—使用gobuster查看

Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具。它是使用Go语言编写的命令行工具,具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具,该工具支持同时多扩展名破解,适合采用多种后台技术的网站。实施子域名扫描时,该工具支持泛域名扫描,并允许用户强制继续扫描,以应对泛域名解析带来的影响。
使用教程:https://github.com/OJ/gobuster

gobuster常用两种扫描模式,dir模式和dns模式。

2.1 使用dir模式

      a.运行命令

示例:
gobuster dir -u https://mysite.com/path/to/folder -c 'session=123456' -t 50 -w common-files.txt -x .php,.html
构造:
gobuster dir -u http://114.67.246.176:10181/ -w /usr/share/wordlists/dirb/common.txt

      b.运行截图

发现git目录。

2.2 下载git文件

      a.运行命令

wget -r http://114.67.246.176:10181/.git

     b.运行截图

下载git目录下所有文件。

2.3 查看执行的命令日志

     a.运行命令

cd 114.67.246.176:10181/.git/logs/ 
git reflog

git reflog 可以查看所有分支的所有操作记录(包括已经被删除的 commit 记录和 reset 的操作)。

     b.运行截图

进入114.67.246.176:10181/.git/logs/目录,查看reflog。

2.4 查看commit

     a.运行命令

示例:
$ git show <commit_id>
构造:
git show e0b8e8e 
git show 40c6d51

git show <commit_id>命令可查看commit的具体内容。

b.运行截图

依次查看commit,找到flag。

dark2019
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku中的source
A272036149的博客
04-16 564
进入环境后 我们首先查看源码可以得到一个flag 这肯定是个假的(已经提交过了确实是个假的) 题目提示要用Linux 这里使用的是kali 我们首先dirsearch一下这个网站 可以看到有.git文件泄露 也可以点开那个链接但是在里面没有找到flag 然后选择下载这个.git文件 然后进入这个文件夹 输入git reflog查看文件状态 可以看到有四个都有flag is here 一个一个查看git show 然后在40c6d51中发现了我们需要的fl
BUGKU-WEB
wojiushilsy的博客
02-22 514
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
BugKu_web_source
羽的博客
06-29 603
源代码这个是假的 在kali扫描 dirb http://114.67.246.176:17328/ 看到有git相关的文件 把它下载下来: wget -r http://114.67.246.176:17328/.git, 下载完毕后 进入文件位置: 使用命令:git reflog 在使用git show 命令查看flag。 一个一个试 ...
BugKu——Web——source
m_de_g的博客
09-02 777
BugKu——Web——source 一、解题思路 1.查看页面源代码,看到flag 2.base64解密 3.有点奇怪,不过先提交试试 4.果然没有这么简单,根据提示Linux环境,使用Xshell连不上,根据题目提示Source,那肯定是源代码泄露,还有一个提示就是源代码里的tig,有点脑洞是git泄露 wget -r http://114.67.246.176:17920/.git 5.下载下来的文件,进入到目录中 6.执行命令git reflog 7.接下来了就直接使用一个一个文件的测试
bugku web source
cuddlylm的博客
06-22 449
没有任何提示,看一下源码 这个是假flag dirsearch一下看看吧 看样子是有git泄露的 githack一下 python GitHack.py http://114.67.246.176:11104/.git 看看这个文件李有啥 别看了,我看过,什么都没有,只有假flag 执行 git reflog 查看执行的命令日志 用git show命令看文件 做到这里就莫得思路了,查了一下 在git reflog之前,要先用 wget -r http://ip_address/.git .
BugkuCTF——最新webwriteup(持续更新)
1匹黑马
11-16 3661
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
BugkuCTF-WEB-第43题到第52题
Alita_lxz的博客
11-04 1174
BugkuCTF-WEB-第43题到第52题
BugkuCTF(Web) WriteUp
CallMeSa1tyFish的博客
08-06 6119
Web部分 web2 点开以后发现是满屏的滑稽,按照国际惯例,查看源代码发现flag 文件上传测试 用burp抓包修改文件名后缀为.php 计算器 修改最大长度限制 web基础$_GET 题目如下 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 直接输入?what=fla...
BugkuCTF文件包含漏洞
Sandra_93的博客
10-17 1474
虽然是参考别人的,但是,为了增强下记忆力,顺便督促自己天天做题,还是每天来一题CTF吧。现阶段,Web.
bugku source
weixin_63810302的博客
09-28 1137
bugku source
Bugku-source
qq_51283187的博客
08-11 1895
Bugku-source 第一次用Linux来做题,差点以为要烂题了 看到题目,没有线索.先扫目录,可以用御剑也可以用kali自带的 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 然后扫出来发现有git文件 访问一下,发现确实是有很多资源噢 于是乎把它们都下载下来, 这里下载的话不一定要用githack,感觉这个工具现在好难用啊,要python3但是windows环境下我又不会玩,只
bugku——source
m0_46607055的博客
10-29 411
解题思路: source 有源码的意思。 先 Ctrl + u 查看源代码,得到一个错误的flag。 既然是源码泄露,直接上dirsearch 扫描 python3 dirsearch.py -u "your_url" 发现有git泄露 (忘了截图了,见谅) 使用wget 下载源码 wget -r ip/.git -r 参数为 递归,下载所有文件。 若kali没有 wget ,使用以下命令下载 apt-get update apt-get install wget 下载完..
bugku--source
qq_51802152的博客
12-14 801
bugku--source
bugkusource
weixin_45942044的博客
03-14 289
进行base 64解码发现解码失败,所以这个flag是假的。输入命令git reflog 显示可引用的历史flag记录。然后使用git show命令挨个查看,最后得到flag。输入命令wget -r 将git下载下来。打开kali,用dirb进行目录扫描。
Bugku sourceWEB
soysauce123的博客
08-10 553
然后由得到一大堆文件,这些文件就没有办法啦只能自己一个一个打开看,到40c6d51的时候找到了。大家好,作为一个CTF方面的小白,以后我也希望每做一次题目就和大家分享分享自己的解题过程。这题也是给咱头搞大了,作者坑太多了,并且我们会用到很多的新工具,所以我们慢慢写这一题。[由于我的gobuster没有很好的安装成功所以这里我用的是dirsearch]当你提交的时候会发现这是错误的答案,那好吧,我们就只有另外想办法了。下载下来后记得打开你所下载的文件夹哦,然后打开他的终端。先简单写写我们会用到的工具。...
Bugku---web---source
最新发布
weixin_47450099的博客
05-02 460
Bugku---web---source 网络安全
BUGKU-WEB source
天泽岁月
02-17 1182
BUGKU-WEB source,使用kali中的gobuster来扫描目录(git泄露)
bugku-web-source
qq_51775369的博客
10-22 372
打开题目,没什么线索,f12查看到一个flag,发现是假的flag 没有线索.先扫目录,题目说用linux环境,可以用御剑也可以用gobuster Gobuster是在Kali Linux中安装的一款目录/文件和DNS爆破工具 (gobuster安装教程:kali中安装gobuster教程_dark的博客-CSDN博客) (使用教程:GitHub - OJ/gobuster: Directory/File, DNS and VHost busting tool written in ...
搭建本地SQL注入靶场:sqli-labs实战教程
- 参考writeup(通关指南)来理解每个关卡的解决方法和原理。 - 结合手动测试(如构造SQL查询)和工具(如Burp Suite,SQLMap)的使用,以加深理解和提高技能。 sqli-labs的使用不仅仅是完成各个关卡,更重要的是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值