一、CTF-Web-信息泄露(记录CTF学习)

已于 2022-12-16 21:28:49 修改
阅读量2.6k 收藏 27
点赞数 11
文章标签: 青少年编程
于 2022-12-16 21:08:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27920699/article/details/128347782
版权

目录

1.源码泄露 

1-1.页面源代码泄露 

1-2.敏感文件泄露

       1-2-1.备份(.swp/.bak/.beifen/~/phps等)

       1-2-2.数据库(mdb)

       1-2-3.压缩包(zip/tar.gz/rar/7z等)

       1-2-4.路径(.git/.svn/.hg/.DS_Store/WEBINF/web.xml/cvs/Bazaar/bzr)

     2.robots.txt泄露

     3.404页面泄露 

     4.协议头泄露 

     5.其他注意事项 

1.源码泄露 

1-1.页面源代码泄露 

        目录遍历,利用Crtl+F检索敏感关键词flag。

1-2.敏感文件泄露

        1-2-1.备份(.swp/.bak/.beifen/~/phps等)

    在扫描找到形如index.php的入口页面时候,可以尝试一同访问它的备份文件(如/.index.php.swp、/.index.php.bak、/index.php~、/index.phps等),查看源代码并检索敏感关键词flag。

        注1:备份文件 

        默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件。

        注2:异常退出 

        在使用vim编辑器编写index.php文件时,会有一个.index.php.swp文件,如果文件正常退出,则该文件被删除;如果异常退出,该文件则会保存下来,该文件可以用来恢复异常退出的index.php。同时多次意外退出并不会覆盖旧的.swp文件,而是会生成一个新的,例如.swo文件。以index.php为例,第一次产生的缓存文件名为.index.php.swp;第二次意外退出后,文件名为.index.php.swo;第三次产生的缓存文件则为.index.php.swn。注意:index前有“.”。

        注3:phps文件是php的源代码文件,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。

       1-2-2.数据库(mdb)

        早期asp+access架构的数据库文件为db.mdb,直接查看url路径添加/db/db.mdb下载文件,用记事本打开搜索flag即可。

最低0.47元/天 解锁文章
YangSNly
关注
  • 11
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
CTF学习(二)——信息泄露、密码口令、SQL注入、文件上传
学习记录
02-28 1166
一、信息泄露 1.1目录遍历 ①点开题目后依次点开各目录,遍历后发现flag文件得旗 1.2 PHPINFO ①在长篇文件中查找flag得旗 1.3备份文件下载 1.3.1 网站源码 ①由提示下载文件www.zip后得到一份flag文件 ②flag文件中无flag,访问该文件名得旗 1.3.2 bak文件 ①访问index.php.bak,通过HBuilder X打开文件得旗 1.3.3 vim缓存 ①访问.index.php.swp(注意.),保存文件 ②通过HBuilder X打开文
Web解题2 信息泄露 ( CTFHub ) - ctf
weixin_73688004的博客
02-28 238
这一步有一点不能理解,在GitHack过程中,有报告:fatal: repository ‘http://challenge-0437d8a863914b85.sandbox.ctfhub.com:10800/.git/’ not found,是什么意思呢?.git/既然没有找到,为什么又会生成/dist?当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。解题流程和第一题一样。
CTFHub:信息泄露
2301_80911344的博客
04-04 683
信息泄露(Information Disclosure),在计算机安全领域中,是指由于系统或应用程序中的漏洞或错误配置,导致未经授权的用户可以访问或检索到敏感信息的情况。这些敏感信息可能包括但不限于个人身份信息、密码、加密密钥、配置文件、源代码、数据库内容以及任何不应公开的公司内部数据。程序员在软件中不慎留下的调试代码或错误信息,这可能向外界公开了系统内部的运行情况。网站或应用程序没有正确地验证用户的访问权限,从而允许未授权用户读取或下载原本应该限制访问的数据。
CTF WebCTFShow 前端密钥泄露 Writeup(代码审计+源码泄漏+POST请求)
最新发布
HEX9CF的技术博客
06-15 399
10密钥什么的,就不要放在前端了。
CTFhub信息泄露漏洞实验指导手册
weixin_43401651的博客
09-30 552
环境:Windows2008、Kali Linux靶场:CTFhub-信息泄露工具:浏览器:火狐浏览器抓包改包工具:burpsuite信息泄露漏洞利用工具:dirsearch、GitHack、dvcs-ripper、Nmap。
CTFHub 信息泄露
qq_58879949的博客
09-06 987
手动遍历。
CTFHUB之Web安全—信息泄露
Lucky小小吴的小屋
10-24 3076
本模块有十道题 目录遍历 phpinfo 备份文件下载(4道) 网站源码 bak文件 vim缓存 .DS_Store Git泄露 SVN泄露 HG泄露
CTF-SMB信息泄露【简单易懂】
不知名白帽的博客
08-17 2771
CTF-SMB信息泄露【简单易懂】
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
WEB CTF备忘单 目录 MySQL 微软SQL Oracle SQLite的 PostgreSQL MS Access LFI 上载 序列化 PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony ...
Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战
02-05
"Web-CTF-挑战:收集代码古怪的行为以及我围绕它们提出的CTF挑战"是一个专注于Web开发和安全的系列挑战,通过分析和解决古怪的代码问题来锻炼参与者的技能。这个挑战集主要涉及Node.js、Express.js和HandleBars这三...
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
ctfhub web全部做题记录(持续跟新)
01-08
【总结】在CTF Web挑战中,了解信息泄露、备份文件、源码解析、文件后缀、vim缓存、版本控制、弱口令、SQL注入、文件上传漏洞等概念至关重要。掌握这些技能可以帮助参赛者在比赛中发现并利用安全漏洞,获取flag。...
CTF web安全经典例题讲解
10-22
在网络安全领域,CTF(Capture The Flag)竞赛是一种常见的技术挑战活动,主要涉及网络攻防、信息安全技术等多方面的知识。本主题集中于CTF赛题中的Web安全部分,通过一系列经典例题来帮助初学者理解和掌握核心技能...
CTF 信息泄露
weixin_59676380的博客
04-15 296
文章目录 前言 记录CTFhub备份文件下载 学习过程 一、网站源码 1、开启题目 2、进入环境 ###1、通过下方链接进入环境 ###2、查看题目要求 ####①打开备份文件下载题目后,用Burp Suite软件抓网站 ####①先将这个页面开启 ####②将网站复制到界面里 ####③会跳到这个界面 ####④开启后Proxy这个会变红 ####⑤调整界面 ####⑥ ####⑦开始抓,抓到不一样的网站是www.zip ####⑧回到网站源码的界面输入网址 ####⑨复制这个文件在网
Ctfer训练计划】——(一)
Demo不是emo的博客
12-19 8704
Ctf每日刷题,带你从ctf小白到竞赛大牛,关注我来跟我一起训练吧,每日分享自己做的觉得比较有意义的题目,加油!
【心得】信息泄露个人笔记
uuzeray的博客
11-13 161
ctf比赛中,信息泄露考点难度普遍较低,不会隐藏特别深,一般有以下几种。
CTF-信息收集篇
weixin_44770698的博客
06-22 2319
ctfshow-web信息收集部分WP
CTF中常见Web源码泄露总结
weixin_30491641的博客
01-30 743
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用...
ctfhub HG泄露
09-27
HG泄露漏洞是指当开发人员使用Mercurial进行版本控制,并且在配置不当的情况下,可能会将.hg文件夹直接部署到线上环境,从而导致敏感信息泄露的漏洞。这种配置错误可以使攻击者访问整个代码库的历史记录、分支、标签和其他敏感信息,可能导致严重的安全问题。 在这种情况下,攻击者可以使用类似于"rip-hg.pl"的工具来利用这个漏洞,该工具可以通过向目标URL发送特定的请求,将.hg目录下载到攻击者的机器上,并获取敏感信息。攻击者还可以使用curl等工具来直接下载.hg目录中的文件,包括flag_1682217975.txt等敏感文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YangSNly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值