CTFshow--WEB入门--信息搜集

最新推荐文章于 2023-12-30 13:54:31 发布
最新推荐文章于 2023-12-30 13:54:31 发布
阅读量489 收藏 3
点赞数
分类专栏: CTF 文章标签: 安全 php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46874275/article/details/115613905
版权

~目录~

web1 源码

flag在源码中
在这里插入图片描述

web2 js前台拦截

右键和F12都被禁用,可以抓包、禁用JavaScript、crtl+u查看
在这里插入图片描述

web3 响应头

抓包发现响应头里有flag
在这里插入图片描述

或者直接在网页响应头里找
在这里插入图片描述

web4 robots.txt

根据提示访问robots.txt
在这里插入图片描述
继续访问flagishere.txt
在这里插入图片描述

web5 index.phps

根据提示下载到index.phps文件
在这里插入图片描述
在这里插入图片描述

web6 www.zip

根据提示下载www.zip文件,index.php中提示flag在fl000g中,fl000g中的flag是假的
在这里插入图片描述
访问fl000g.txt
在这里插入图片描述

web7 .git

版本控制器,不是git就是svn
访问.git/index.php
在这里插入图片描述

web8 .svn

访问.svn/index.php
在这里插入图片描述

web9 vim缓存

访问index.php.svp,下载文件
在这里插入图片描述

web10 cookie

flag在cookie中
在这里插入图片描述

web11 域名解析

ctfshow.com隐藏了一条信息,通过域名解析发现TXT中有flag
在这里插入图片描述

web12 公开信息

发现电话号码
在这里插入图片描述
访问robots.txt得到用户名
在这里插入图片描述
登录用户名为admin,密码就是电话号
在这里插入图片描述

web13 技术文档敏感信息

网站的最后有document,打开下翻发现用户名密码
在这里插入图片描述
登录/system1103/login.php
在这里插入图片描述
在这里插入图片描述

web14 editor

有点坑,一开始输的editor一直页面加载失败,后来才知道输’editor/'才行

然后我们进入了
edi
在图片空间的/var/www/html/nothinghere目录有fl000g文件
在这里插入图片描述
访问/nothinghere/fl000g.txt在这里插入图片描述

web15 邮箱

输入/admin/进入登录系统
在这里插入图片描述
点击忘记密码,发现需要所在地
在这里插入图片描述
发现西安
在这里插入图片描述
将密码重置
在这里插入图片描述
一开始以为用户名是邮箱,后面登录才知道用户名是admin
在这里插入图片描述

web16 php探针

访问/tz.php,出现雅黑php探针
在这里插入图片描述
点击PHPINFO
在这里插入图片描述
Ctrl+F快速找到flag
在这里插入图片描述

web17 查真实ip

让我们查询www.ctfer.com的真实IP地址,直接ping就可以
在这里插入图片描述

web18 js

点击js/Flappy_js.js
在这里插入图片描述
发现一段Unicode编码
在这里插入图片描述
访问110.php
在这里插入图片描述
在这里插入图片描述

web19 密钥放源码

页面原源码的最后发现用户名密码,但是若有表单提交密码就会被加密
在这里插入图片描述
用hackbar post data即可
在这里插入图片描述

web20 mdb文件

访问/db/db.mdb,下载db.mdb文件
在这里插入图片描述
找到flag
在这里插入图片描述

7evenQn
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-web入门-信息搜集
qq_63575829的博客
04-18 127
CTFshow-web入门-信息搜集
CTFshow web入门 信息搜集
m0_50043719的博客
01-11 567
ctfshow web入门 信息搜集
Bugku--web新版
qq_46874275的博客
04-10 889
~目录~web4web5web6web7web8 web4 $what=$_POST['what']; //接受post过来的参数what,存到what里 echo $what;//打印 if($what=='flag')//如果值是flag echo 'flag{****}';//打印flag hackbar在post data里写what=flag 或者bp抓包,右键change request method,在最下方写what=flag web5 $num=$_GET['num'];//获取参数n
ctfshow做题记录(二)
qq_73975638的博客
04-10 435
题目中介绍了关于mdb文件的一些知识,于是想这这个题应该跟mdb文件有关,于是在网址后加上/db/db.mdb访问,下载下来一个mdb文件,用记事本打开后发现是一堆乱码,于是尝试搜索了一下ctf,找到了flag。打开题目后发现是一个登录页面,尝试了一下最普遍的账号admin,密码123456发现并没有啥用,于是就查看了源代码,在后面发现了账号密码,但是输入后还是显示密码错误,于是准备尝试一下用bp抓包。根据题目中所说,公开的信息可能会造成信息泄露,比如邮箱,然后确实在网页中找到了一个公开的QQ邮箱。
ctfshow 敏感信息公布
qq_55777983的博客
07-24 737
打开网站,根据题目,猜测应该是该网站泄露了一些信息 翻到最下面原来是这个 接下来我迷茫了很久(其实题目没头绪的时候用御剑扫一下有时候能获得意外收获) 这里我们访问robots.txt反爬文件可以发现 我们直接访问url/admin/ 不给账号很多题目都是admin然后我们直接输入之前拿到的网站最下面泄露的信息成功登录 ...
ctfshow-WEB-web7
wangyuxiang946的博客
08-22 1万+
ctf.show WEB模块第7关是一个SQL注入漏洞,注入点是数值型注入,源码中过滤了空格,我们可以使用括号()或者注释/**/来代替空格 页面中有一个文章列表,随便点一个 从url地址栏中可以看到,页面通过文章的id值来查询文章内容,我们可以考虑SQL注入漏洞 首先判断注入点,输入以下payload,使SQL恒成立 1/**/and/**/1 可以看到,页面正常显示 在输入以下payload,使SQL恒不成立 1/**/and/**/0 可以...
CTF-show WEB入门--web7
m0_73912575的博客
12-30 570
CTF-show WEB入门--web7
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
ctfshow-web41~60-WP
最新发布
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
ctfshow web入门——web7
m0_74093152的博客
01-29 336
ctfshowweb入门——web7
web入门——ctfshow(3-20)(信息搜集
weixin_73668856的博客
11-25 433
水水
ctfshow 信息收集 web11-20
weixin_58519918的博客
01-19 2310
Wed11(域名) “域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息”提示信息,之后在域名解析查询(A/Txt/Cname/Mx/Srv/Aaaa...)这个网站上进行域名查询。 在方框内输入相关的域名(ctfshow.com)并在下拉处改变样式为Txt之后查询 就得到了falg。 Web12(管理员) “有时候网站上的公开信息,就是管理员常用密码”看题是进入管理员界面的所以打开之后在url后输入/admin进入管理员界面 他需要输入用户名和密码,admin应为用户名,密码
ctf.show web入门
nidaxin的博客
01-21 5292
信息收集 web1:【where is flag】 打开开发者工具 web2:【无法查看源代码】 ctrl+u或者开发者工具·都可以 web3:【where is flag】 直接抓包,查看响应包 web4:【robots】 Robots协议:也称为爬虫协议、机器人协议等,其全称为“网络爬虫排除标准",它通常是一个叫做robots.txt的文本文件,一般放在网站的根目录下。网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。 先抓包,发现响应包里面并没有f.
ctfshow学习记录-web入门(命令执行69-77&118)
龟速更新的九某人
06-27 980
ctfshow学习记录-web入门(命令执行web69-77&118)
CTFShow web1-7——CTF秀WEB模块解题思路
热门推荐
wangyuxiang946的博客
09-15 1万+
CTFShow WEB模块详细通关教程, 受篇幅所限, 通关教程分为上下两部分, 第一部分为1-7关, 第二部分为8-14关, 本篇博客为1-7关的通关教程, 从解题思路和所用到的知识点两个方面进行讲解 CTFShow web1-7关详细教程解题思路CTFShow web签到题CTFShow web2CTFShow web3CTFShow web4CTFShow web5CTFShow web6CTFShow web7知识点php://input伪协议日志注入MD5加密漏洞-0e绕过过滤空格的绕过方式 .
CTFshow--web入门--文件上传
qq_46874275的博客
04-24 1855
~目录~开始web151 改后缀 / 禁jsweb152 改后缀web153 .user.iniweb154、155 .user.ini + 短标签web156 {}web157、158、159 反引号执行命令web160 日志包含绕过web161 幻术文件头web162、163 session文件包含+条件竞争 开始 挑简单的先来 web151 改后缀 / 禁js 上传一个一句话,要求是图片格式,否则传不上去 <?php @eval($_POST['a']) ?> 然后抓包修改后缀为php
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值