【CTF Web】CTFShow 内部技术文档泄露 Writeup(信息收集+敏感信息泄露)

于 2024-08-22 14:24:31 发布
阅读量508 收藏 2
点赞数 18
分类专栏: CTF Writeup 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34988204/article/details/138229380
版权

内部技术文档泄露

10
技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码

解法

用 dirsearch 扫描。

dirsearch -u https://4d39f7a4-b1f8-4c9f-8946-e526f3e982af.challenge.ctf.show/

没有找到有用的信息。

页脚有个 document。

点进去,是一份 pdf。

访问:

https://4d39f7a4-b1f8-4c9f-8946-e526f3e982af.challenge.ctf.show/system1103/login.php

用文档中的账号密码登录。

取得 flag。

Flag

ctfshow{affb080e-6e9c-40e2-ab9f-ac7d44959c36}

声明

本博客上发布的所有关于网络攻防技术的文章,仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且严格遵守了相关法律法规

博主坚决反对任何形式的非法黑客行为,包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,必须遵守法律法规不得用于任何非法目的。对于因使用这些技术而导致的任何后果,博主不承担任何责任

HEX9CF
关注
专栏目录
CTFSHOW 内部web writeup
ashMOB的博客
10-29 5045
CTFSHOW 内部web writeup 太菜了不会写,按着羽师傅和bmth666师傅的writeup复现 签到 打开界面如上,右键源码可以看到有一个register.php注册界面,需要利用login和register界面来进行sql盲注,sql太菜了连代码都看不懂,直接贴师傅们写的脚本 import requests import re url1 = "http://dd2ae20d-7588-4d04-af33-86ce7a48313d.challenge.ctf.show/register.
CTFshow——web入门(信息泄露
doraemon12345的博客
05-30 1472
web1 源码泄露 直接 f12 在下面注释行中可以看到flag web2 前台js绕过 方法有很多: 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露 题目提示没思路抓包看看,就用burp抓个包看看,在响应头里发现flag web4 robots后台泄露 题目提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web
ctfshow 内部技术文档泄露
qq_55777983的博客
07-24 658
根据题目名称又是一种泄露 找了很久在网页最下方点击document即可下载内部技术文档 打开给了用户名和密码还有一个后台URL 接下来我们访问后台URL,登录即可
CTFSHOW系列-web13(信息收集-技术文档泄露)
siu~
11-27 611
CTFSHOW系列解题思路
CTFshow信息泄露
weixin_74275515的博客
07-27 1158
在Vim中,临时文件通常是由Vim自动生成以保存临时信息的。(1)子域名入手:可以通过查找该网站的子域名去寻找其真实ip,因为有点网站可能主站使用了CDN而某些子域名并未使用。它通过记录文件的修改历史、‌作者、‌修改时间等信息,‌帮助开发团队协同工作,‌确保代码变更的可追溯性和可管理性。(3)历史DNS记录:查询ip时该网站可能刚开始并未开始DNS,所以可以通过查询网站的历史DNS查找目标ip。(5) 国外请求:有些网站可能没有对国外访问进行CDN加速,所以可以通过国外代理访问到真实ip。
CTF Web】XCTF GFSJ0485 simple_php Writeup(代码审计+GET请求+PHP弱类型漏洞)
HEX9CF的技术博客
05-06 482
小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
【*CTF web部分writeup】
weixin_45751765的博客
04-18 2782
1NDEXGrafanaLottoNotepro Grafana CVE-2021-43798 读到这些文件 一开始想的用脚本解密db文件里加过密的密码,但发现datasource是空的…. 回头过一下配置文件 过到一个明文密码 本来以为要在哪里getshell, 翻插件翻到mysql 试了一下默认的 成功添加数据源 更换数据源后 有个edit sql直接查询 Lotto 大致意思就是上传forecast猜 最后和lotto_result结果对比 审计到这很可疑的环境变量赋值并且有safe
winhex技术文档CTF更中misc+cypto(部分带视频操作)
最新发布
09-26
winhex技术文档CTF更中misc+cypto(部分带视频操作)
一、CTF-Web-信息泄露(记录CTF学习)
qq_27920699的博客
12-16 3052
个人CTF学习之路
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 679
ctfshow-web入门-信息收集wp
[GDOUCTF 2023] ——web方向全Write up
Leaf_initial的博客
04-17 2445
魔术方法,然后可以看到__wakeup()中会指向classroom类的hahaha函数,hahaha所需要的变量条件在school类的。把`’ [] " _ {{}} \ .都过滤了但是比较幸运的是可以用{%%},看了看他的config和self,发现都可以用。test.txt也看过了,里面和/orzorz.php中的内容一样,不过是文档形式,这里不赘述。可以看出这个通过flask框架写的一个网页,通过代码审计我们可以得知,只需要向。所以,双等号是不要求类型相同的,所以我们可以构造payload。
ctfshow做题记录(二)
qq_73975638的博客
04-10 633
题目中介绍了关于mdb文件的一些知识,于是想这这个题应该跟mdb文件有关,于是在网址后加上/db/db.mdb访问,下载下来一个mdb文件,用记事本打开后发现是一堆乱码,于是尝试搜索了一下ctf,找到了flag。打开题目后发现是一个登录页面,尝试了一下最普遍的账号admin,密码123456发现并没有啥用,于是就查看了源代码,在后面发现了账号密码,但是输入后还是显示密码错误,于是准备尝试一下用bp抓包。根据题目中所说,公开的信息可能会造成信息泄露,比如邮箱,然后确实在网页中找到了一个公开的QQ邮箱。
ctfshow VIP限免题目 wp
dangejinghong的博客
04-04 857
数据库恶意下载 前端密钥泄露 js敏感信息泄露 CDN穿透 探针泄露 密码逻辑脆弱 编辑器配置不当 内部技术文档泄露 敏感信息公布 域名txt记录泄露 cookie泄露 vim临时文件泄露 版本控制泄露源码2 版本控制泄露源码 源码压缩包泄露 phps源码泄露
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12题入门题)
weixin_33603656的博客
01-15 3628
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
【BUUCTF WebWriteUp超详细,10年阿里开发架构师经验分享
2401_84248681的博客
04-10 630
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
API接口漏洞案例—接口文档泄露
2301_77360081的博客
11-02 1588
本案例是一次在某建材公司的项目实战测试中发现的一个swagger-ui接口文档泄露的漏洞,该漏洞归属于API OWASP TOP 10漏洞类别中的资产管理不当,最后能够通过该接口文档实现漏洞利用的危害最大化,在这里将其作为一个漏洞案例分享出来给大家。
BugKu-杂项(Misc)的部分Writeup(持续更新,直到刷完)
DG_s1mple
06-17 5447
MISC题的部分writeup(持续更新)1.签到题2.这是一张单纯的图片3.隐写4.telnet5.眼见非实(ISCCCTF)6.啊哒7.又一张图片,还单纯吗 用了些时间把BugKu里的Misc的解题思路和套路整理了一下,发出来分享 1.签到题 给了一张二维码,扫描关注就得到了flag 2.这是一张单纯的图片 题目给了一张图片,下载下来,然后用Winhex打开,发现末尾处有一段Unicode编码 key{y&amp
CTF解题-Bugku_Web_WriteUp (上)
道阻且长,行则将至。
08-16 9048
BugkuCTF平台是免费的CTF训练平台,题目数量多网上解析全面对新手入门友好。 为了划水“强网杯”练习一下,先从Web部分下手…… N0.1 Web2 1、访问靶场链接,花里胡哨: 2、入门题,直接查看搜索源码: 3、解决: No.2 计算器 额,这题……没啥好所说的,原先限制前端字段输入长度为1,修改前端字段长度的限制即可: No.3 Web$_GET 1、看看解题链接: 2、看到这没啥好说的……该提示的都提示了,直接获取 flag: No.4 Web$_POST 1、看看解题链接:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值