这篇博客介绍了CTF比赛中常见的web安全信息收集技术,包括源码泄露、JS绕过、协议头信息、robots.txt利用、phps源码、版本控制、vim临时文件、cookie泄露、域名TXT记录、敏感信息公布等20个主题,提供了具体的操作方法和思路。
每天都会更新,当作复习用了。
1.源码泄露
这题直接按F12就好了,然后注释部分用Base64解密一下。
2.前台JS绕过
这题也挺简单 有两个方法:
- 直接ctrl + u
- 在网址前面加view-source:
- 当然也可以burpsuite 截断流量抓包
3.协议头信息泄露
有两个方法:
- burpsuite抓包
- 在游览器 按F12 -> 网络 -> 找加载的文件 -> 里面有 header 信息 flag就在里面
4. robots后台泄露
这道题呢是入门的一个小坑:
- 首先按照题目信息提示,直接 url+robots.txt 访问一下
- 下载文件,麻了却发现是个假flag,将txt的文件名放在 url+【文件名】再试一下 得flag
5.phps源码泄漏
phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。
这道题就直接访问 index.phps即可
最低0.47元/天 解锁文章
324
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
