蓝鲸 CTF web——密码泄露

最新推荐文章于 2025-01-21 09:51:05 发布
最新推荐文章于 2025-01-21 09:51:05 发布
阅读量4.5k 收藏 6
点赞数
分类专栏: 信息安全闲聊
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41187256/article/details/80399343
版权

今天才知道还有蓝鲸安全这个平台,又涨了一点知识,我来分享一下个人的解题思路以及感受,希望能够帮助到那些需要的人
(我想把每一步都写下来,因为我还是萌新,所以我知道有可能会因为一步的不会导致所有都不会的结果)
这里写图片描述

这个是我博客园的地址:http://www.cnblogs.com/lxz-1263030049/
里面有其它平台的wp,欢迎你们去玩哦!!!!
也希望你们能够在博客园点一下关注哦!!!

解题思路:针对于这一题,首先看http头,将html更改为php立即就会跳转为html有问题:
这里写图片描述
最后答案:flag:{This_is_s0_simpl3}

这里写图片描述

解题思路:首先需要知道关于ip地址绕过的信息:
https://blog.csdn.net/caiqiiqi/article/details/72852083?locationNum=9&fps=1以及
https://www.jianshu.com/p/98c08956183d

这里写图片描述
更改一下Cookie: isadmin=0使得isadmin=1,就会得到正确答案:
这里写图片描述

最后正确答案:flag:{Why_ar3_y0u_s0_dia0}

这里写图片描述

解题思路:
首先点开链接就会发现:
这里写图片描述
这里写图片描述
这里写图片描述
当你将password.txt输入到连接中就会发现,
这里写图片描述
很神奇的事情,把这些东西存下来,在记事本中接下来就是使用刚刚的密码本进行爆破;
就会得到
这里写图片描述
再划线的地方导入刚刚的密码,对于需要爆破的密码进行爆破;
这里写图片描述
然后攻击:(点击划红线的部分)
这里写图片描述
查看request发现并没有找到自己想要的,再查看respond就会发现:
这里写图片描述
使用base64进行解密
这里写图片描述
找到这个东东,使用刚刚这个网页打开:
这里写图片描述
继续进入,发现一个小黑留言板留言一下试试,居然说没有登陆,BP抓包登陆一下,guest改root,IsLogin=1出flag(需要修改格式哦)
这里写图片描述
这个并不是最后的·答案,还需要继续解密:
使用url解密就会得到答案:
这里写图片描述

这里写图片描述
解题思路:针对于这一题,首先看http头,将html更改为php立即就会跳转为html有问题:
这里写图片描述
最后得到的答案:flag:{Y0u_ar3_s0_Car3ful}

其实关于第一个SQL的我现在并没有接触,等我学习之后,我会更新这个博文的!
今天主要是增长了一些关于爆破的方式以及内容,详细的内容直接查看我的博文,里面写的很详细,每一步我都标注了下来,希望能够帮助到你们!

蓝鲸CTF Web密码泄露
Tututuo
09-28 1271
蓝鲸CTF Web密码泄露 解题网址:前往 随意输入结果都是得到false 查看源代码 拉到最后发现 然后综合上面也出现了password.txt的提示,我们把index.php文件换成password.txt试试 嘻嘻 出现了一个密码文本诶 把密码保存到记事本(我放在桌面并命名为password.txt了) 然后用Burpsuite爆破一下(傻瓜式教程 ...
蓝鲸安全ctf打卡隐写篇----第一期
x519461623的博客
02-19 2034
第一期 1.雨中龙猫 考查base64编码和图片源码隐写 题目给出答案格式whalectf{xxx},将whalectf进行base64编码:d2hhbGVjdGY= notepad++打开源码搜索,发现并不能搜索到 因为base64编码过程会重新以6位分组,所以whalectf后面的字母可能会对whalectf的编码影响,所以搜索前几位d2hhbGVj 得到d2hhbGVjdGZ7TG 进行解...
CTFHUB-WEB-信息泄露
weixin_43486981的博客
08-13 1210
CTFHUB-WEB-信息泄露目录遍历:PHPINFO备份文件下载备份文件下载-网站源码Dirsearch目录爆破工具备份文件下载-bak文件备份文件下载-vim缓存备份文件下载-.DS_StoreSVN泄露工具:dvcs-ripper信息泄露利用工具Git泄露Git泄露-LogHithack:.git泄露利用工具,可还原历史版本Git泄露-stashGit泄露-index 目录遍历: 靶机环境 点进去是4个文件夹,开始寻找flag 发现flag在2/3文件夹里,打开即可获得flag 别人博客里的代
CTF 】一篇文章带你了解CTF那些事儿,CTF入门到精通,收藏这篇就够了
最新发布
2401_84618514的博客
01-21 1283
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
CTF--Vim文件泄露(.swp备份文件)
热门推荐
woshisz0413的博客
11-27 1万+
漏洞出现提示: (1)源码中出现 思路: 说明可能存在.swp备份文件,正常URL:xxx/index.php 则尝试URL:xxx/index.php.swp下载.swp文件代码 并使用vim打开,打开命令:vim -r index.php.swp 打开后则发现源码,进行代码审计 ...
43. CTFHub Web_密码口令
__Qian的博客
03-23 935
1.弱口令 1.打开页面链接 这里可以使用burp进行暴力破解,输入admin/password,即可获取flag 2.默认口令 1.打开页面后,发现是亿邮邮件网关,经百度查询,查到默认帐号密码如下,挨个进行尝试后,发现eyougw/admin@(eyou)为帐号密码 2.输入帐号密码验证码后,得到flag ​ ...
CTF信息泄露
weixin_67901533的博客
04-26 1281
文章目录一、目录遍历1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤二、PHPINFO1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤三、网站源码1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤四、bak文件1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤五、vim缓存1.打开题目2.进入环境2.1通过下方链接进入环境2.2查看题目要求3.解题步骤六、.DS_Store1.打开题目
蓝鲸CTFweb
没有任何buff的小菜鸡的博客
08-08 1913
为了完成暑假作业的我,又来了 写wp只是为了让自己过一遍思路,同时也为没有想法的大佬提供思路,flag没有打码,但是希望大佬们能按照自己的思路去拿一遍flag 前面刷完南邮的ctf平台,终于发现了最少量的oj蓝鲸(我指web蓝鲸的第一题登录不上去,打算后面看看有没有前辈的wp好好的研究一下 第二题:Find me Emmmm 这个看到题目,一猜就应该跟其他oj一样,都是看源码,直接拿flag...
小学一年级语文教案——小学一年级语文——《蓝鲸》教案.doc
12-06
例如,配合音乐和画面的大海图,教师为学生展现了一片深蓝的海洋,让学生仿佛置身于海洋的世界,激发他们对海洋生物——蓝鲸的好奇心。这种声画结合的方式,不仅丰富了学生的视觉和听觉体验,而且有效提升了他们对...
CTF AWD Attack with Defense 线下赛平台 蓝鲸智云容器管理平台
08-22
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
CTF】敏感信息泄露 GIT SVN VIM
2302_79596028的博客
10-13 915
这类题目通过模拟开发人员的疏忽或系统配置的失误,导致敏感文件或数据被泄露。信息泄露题目通常相对简单,但能帮助参赛者掌握如何从公开的信息中获取潜在的线索或利用目标系统的疏漏获取访问权限。在开发中,如果不小心暴露了.git目录,攻击者可以通过访问此目录来获取项目的整个历史版本和敏感信息。如果项目的.svn目录泄露,攻击者可以获取项目的源码和历史记录,类似于Git的信息泄露。)没有被正确保护或误上传至公开的服务器,攻击者可以轻松获取其中的敏感信息。这些备份文件如果没有正确删除或保护,可能会导致敏感数据的泄露
CTFHub技能树 Web-信息泄露 vim缓存
m0_64586444的博客
03-15 647
CTFHub技能树 Web-信息泄露 vim缓存
[CTFHub]vim缓存(web>信息泄露>备份文件下载)
ZXW_NUDT的博客
05-01 1632
首先,先科普一个小知识点: vim在编辑文档的过程中如果异常退出,会产生缓存文件,第一次产生的缓存文件后缀为.swp,后面会产生.swo 还有一点值得注意的是,在后面输入的是网址输入的应该是: “.index.php.swp” 前面是有一个点的 然后就可以得到一个.swp的文件 vim是在Linux系统中的,所以这文件要复制到linux系统中进行解析 ...
CTFHUB之Web安全 密码口令
Lucky小小吴的小屋
10-25 1557
CTFHUB之Web安全 密码口令
CTFHUB——信息泄露
qq_44832048的博客
03-21 1961
目录遍历 新建标签页打开链接 发现一个个文件 慢慢找就能找到flag文件了 PHPINFO 打开后还是直接找就OK了 备份文件下载—网站源码 我的御剑出了点问题没扫出来,就源码后面加/www.zip类似这种一个个的试,最后找到了一个压缩包里面有个flag.txt,打开之后出来了这个, 没事把他放在源码后面就出来flag咯 ** bak文件 ** 打开之后显而易见,在源码后面加/inde...
CTF:信息泄露.(CTFHub靶场环境)
网络安全领域___专研者.
07-31 3910
“ 信息泄露 ” 是指网站无意间向用户泄露敏感信息,泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息。泄露敏感的用户或业务数据的危险相当明显,但是泄露技术信息有时可能同样严重,尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他的漏洞。
CTF-HUB】【Web-信息泄露-备份文件下载-vim缓存】解题思路
新青年1号
10-03 1427
CTF-HUB Web-信息泄露-备份文件下载-vim缓存
蓝鲸ctf 逆向0x2 app-release
startr4ck
04-10 626
【题目链接】http://whalectf.xin/challenges#app-release【解题流程和思路】基本流程和上面的warm up那道题目相同,也是对输入进行异或处理,处理得到的数据进行比较就可以得到flag了打开之后发现需要的进行异或字符串将就上一道题目的python写出了flag...
蓝鲸CTF-web-密码泄露
烟雨天青色
08-30 1170
蓝鲸CTF-web密码泄露:题目链接 进入到题目环境之后,页面显示登陆表单和“false”字样,先猜解一些密码是什么,经过一系列的猜解之后,页面一直显示flase。此时,查看网页源代码: 源代码的注释里显示了一个名为password.txt的文件,现在我们可以去访问一下这个文件,访问之后,页面显示了很多条密码,着很显然是一个密码字典: 这个时候我们需要利用工具和密码字典进行暴力...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值