CTF show web入门 信息搜寻

最新推荐文章于 2023-10-07 23:58:37 发布
最新推荐文章于 2023-10-07 23:58:37 发布
阅读量600 收藏 3
点赞数 2
文章标签: 信息安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52429415/article/details/114310213
版权

CTF show web入门 信息搜寻

目录

web1

进入后按F12看源代码
在这里插入图片描述

web2

进入网址,发现不能按F12,按ctrl+U查看源代码
在这里插入图片描述

web3

发现提示(没思路的时候抓个包看看)在这里插入图片描述
根据提示进行抓包
在这里插入图片描述

web4

在题目中发现提示(后台地址写入robots)
在这里插入图片描述

访问robots输入robots.txt
在这里插入图片描述
访问flagishere.txt
在这里插入图片描述

web5

根据提示(phps源码)访问index.phps
在这里插入图片描述
得到一个文件
在这里插入图片描述

web6

根据提示(解压源码到当前目录),访问/www.zip,下载压缩包
发现flag在 fl000g.txt里
在这里插入图片描述
访问 fl000g.txt
在这里插入图片描述

web7

根据提示(版本控制很重要),而git是版本控制系统
访问/.git试试
在这里插入图片描述

web8

发现和上一题的提示一模一样,应该和上一题差不多
试试上一题的方法,发现不行
试试加.svn,svn是另一种版本控制系统
在这里插入图片描述

web9

根据题目提示,应该是vim缓存信息泄露
用index.php.swp,可以看到泄露信息的相关内容
在这里插入图片描述

web10

题目说到cookie,就去cookie里找找
F12,存储,在cookie里找到了flag
但是是被url编码了的
在这里插入图片描述
url解码后就可以得到flag

web11

根据题目进入网址,根据题目输入ctfshow.com
在这里插入图片描述

web12

进入网址,发现是个购物网站,根据题目提示,
应该是需要登陆
输入/admin,发现需要密码,
密码应该是藏在网站里
慢慢看,发现最后有一串数字,应该就是密码
登录后就可以得到flag

web13

进入网址,随便看看,看着看着发现了一个pdf
在这里插入图片描述
进入后发现了一个网址,用户名,还有密码在这里插入图片描述
将网址更改后。输入用户名,密码后得到flag
在这里插入图片描述

web14

根据题目提示,加/editor,进入它的编辑器在这里插入图片描述
然后在文件空间里找flag的位置在这里插入图片描述
花了点时间成功找到了flag的位置在这里插入图片描述
然后输入/nothinghere/fl000g.txt 直接访问flag所在的位置
在这里插入图片描述

web15

根据题目进入网址,输入/admin,进入登陆界面在这里插入图片描述
发现有忘记密码这个选项
进入后发现要输入地址在这里插入图片描述
回网站找地址
根据题目发现有个QQ邮箱
在这里插入图片描述
在QQ上找到了他的地址是西安
回去输入西安,得到重置后的密码
账号为admin,密码为重置密码
登录后得到flag

web16

进入网址之后根据题目输入/tz.php打开探针在这里插入图片描述
在探针中发现phpinfo可以打开在这里插入图片描述
进入后找到flag在这里插入图片描述

web17

直接用阿里云网站运维检测平台查IP
在这里插入图片描述得到flag

web18

进入网址发现一个小游戏。
手痒,尝试了一下。
可能是我手太笨了,玩不通过
在这里插入图片描述
按F12,发现js
在这里插入图片描述
进入后,发现代码在这里插入图片描述
用js文本/unicode解码
解码后得到这个在这里插入图片描述
仔细读读后发现应该是
(你赢了,去110.php看看)
输入/110.php,得到flag在这里插入图片描述

web19

进入网址后,发现啥也没有
按F12
发现账号密码的名称和正确的账号密码在这里插入图片描述
在HackBar中上传正确的账号密码
在这里插入图片描述

web20

根据提示是mdb数据库文件
加/db/db.mdb
可下载一个数据库在这里插入图片描述
下载后可在数据库中找到flag在这里插入图片描述

好啦,(CTF show web入门 信息搜寻)的题目都挺简单的,相信大家都看懂了。
这是第一篇博客
后面还会定期写一些关于ctf web方面的内容

阿嘞嘞…
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
CTF入门指导
07-18
CTF入门指导,包含以下文档:Crypto.Code介绍.pdf;misc-写在前面的话.doc;PWN入门指导.docx;PWN入门指导.pdf;rev-知识储备.doc;Web基础-Cookie介绍.docx;Web基础-HTML介绍.docx;Web基础-HTTP协议.docx;Web...
CTFShow Web入门_爆破
qq_19533763的博客
04-01 1044
Web21 随便输入抓包 发现Base64加密 账号和密码用:隔开 使用BP构造payload爆破 下载官方提供的字典 把后缀名改为.zip即可打开 使用Custom iterator模式 第一部分 第二部分 第三部分使用字典 添加base64加密 关闭url编码 爆破完按length排序查看最小的回包 Web22 子域名爆破,爆破ctf.show 最终在vip.ctf.show的源码发现了flag Web23 error_reporting(0); include('fla
CTF的第一次了解
qq_73684425的博客
10-13 1921
CTF 一、CTF的定义:CTF是什么? CTF 是 Capture The Flag 的简称,中文译作夺旗赛,其本意是西方的一种传统运动。在比赛上两军会互相争夺旗帜,当有一方的旗帜被敌军夺取,就代表了那一方的战败。在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。在比赛中,选手们的任务往往是在获取服务器后寻找指定的字段,或者文件中某一个固定格式的字段,这个字段叫做 flag,其形式一般为 flag{xxxxxxxx},提交到裁判机就即可得分。 二、CTF的起源。 CTF
ctf-web-信息收集
m0_74830262的博客
05-06 453
admin是administer的缩写,也就是说,它是一个管理员账号,对于每一台电脑ip来说,它都有一个administer账号,这个账号拥有着管理电脑的最高权限,也被叫做系统管理员。SQL 的范围包括数据插入、查询、更新和删除,数据库模式创建和修改,以及数据访问控制。接着我们访问index.phps文件,发现跳转的正是当前页面,因此猜测成立!,然后再URL后添加/www.zip对网站主页源码进行下载,然后进行解压。查看源代码,查看js文件,查看flag的条件,去通过uncode解码。
CTFshow 1-10关
weixin_62369433的博客
11-11 2030
CTFshow 1-10 通关详解
CTF信息收集
WenZhongxiang
10-07 310
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。它可以让开发者们在这里托管自己的代码,并进行版本控制,是全球最大的源代码托管网站之一。信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。端口扫描常用扫描工具。
CTF-WEB入门DOC-2019版1
08-03
1. 明确自己打CTF是为了娱乐,还是为了以后的工作发展 2. 如果是为了工作,那么需要一颗非常有毅力的心 3. 做好放弃周末休息时间的准备 4. 你的绝大多数
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出...
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = ...
CTF信息收集
chun_gong的博客
05-24 460
信息收集的分类 前期的题目信息搜集可能对于解决CTF线上比赛的题目有着非常重要的作用,下面将从敏感目录、敏感备份文件、Banner识别三方面来讲述基础的信息搜集 , 以及如何在CTF线上,比赛中发现解题方向。 1.1敏感目录泄露 1.1.1git泄露 (1)常规的git泄露 既没有任何其他操作,可以通过运用现场的工具或者自己编写的脚本即可获取网站源码或者flag。这里推荐一个工具:https://github.com/denny0223/scrabble 使用方法: ./scrabble htt
CTF中常见信息搜集学习总结
i8o6o6的博客
11-28 4550
信息搜集的必要性:在线上解题时,信息搜集可以帮助我们建立解题思路,发现解题方向。 0.题目描述 其实最主要的还是题目描述里的信息,不然没法做题,用心读题才能把题做好。 1.页面源代码 这个就不用多说了,现在基本上打开题目就是习惯性地按F12,抓包看源码。 源码里面可能会发现一些JS脚本代码、注释掉的标签信息、在图片标签的src属性里可能会发现网站后台的路径等等。 2.敏感文件泄露 ①robots.txt 当我们在搜索引擎上打上内容点击搜索的时候,搜索引擎靠一个叫robot的程序.
ctfshow(菜狗杯)
qq_62046696的博客
11-28 5614
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
CTF show----web 解题笔记(web签到~web6)
weixin_45908624的博客
11-22 3454
web签到~web6 解题笔记
[CTF/网络安全] 攻防世界 baby_web 解题详析
等风来
05-21 4156
[CTF/网络安全] 攻防世界 baby_web 解题详析
CTF竞赛入门(八)pwn
single7_的博客
11-18 958
0x01 pwn Pwn (/ˈpoʊn/, /ˈpuːn/, /pəˈʔoʊn/, /ˈpɔːn/, /piˈoʊn/, /pwəˈʔn̩/, /ˈoʊn/),是一个骇客语法的俚语词,自"own"这个字引申出来的,这个词的含意在于,玩家在整个游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败(例如:“You just got pwned!”)。过去式的拼写可以拼成pwnd,pwn3d,pwnt(读成 t 这个音)或是
ctfshow-WEB-web2
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可 在用户名的输入框中输入万能账号a' or true #,密码随便输 登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库 首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输 a' union select 1,2...
ctf刷题 ctfshow【网鼎杯】
weixin_44807430的博客
01-07 1185
纯粹学安全
ctf.show与学习笔记
Q221022的博客
01-29 3067
ctf.show 1.密码学签到 看到密文之后不难发现,flag就是倒着写的,直接将密文倒叙输出就是答案 2. 看到题目,全是由符号组成的,将题目内容全部复制到控制台,回车即可得到答案 3. 第三题与第二题看起来是一样的,所以先将其复制到控制台,发现报错了,有中文的引号,将所有的引号全部换成英文之后还是没有得到flag,········(不会了,没有思路了) 4. 直接用工具计算出私钥d即可 5. 根据rsa密码的解密规则解出m 6. 没有判断出...
ctf web 思维导图
最新发布
12-18
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web领域涉及到了网页应用程序的漏洞挖掘和利用。下面是CTF Web思维导图的简要解释: CTF Web思维导图主要分为三个方面:Web漏洞类型、漏洞利用技术和解题方法。 Web漏洞类型包括:注入漏洞(如SQL注入、命令注入)、跨站脚本漏洞(XSS)、跨站请求伪造漏洞(CSRF)、文件上传漏洞、路径遍历漏洞等。这些漏洞常见于Web应用程序的开发不规范或配置不当,攻击者可以通过利用这些漏洞来获取无授权的访问或者控制目标系统。 漏洞利用技术主要包括:代码注入(如SQL注入、远程命令执行)、会话劫持与干扰(如会话劫持、会话劫持预防、会话干扰攻击)、文件包含与遍历、信息泄露利用(如敏感信息泄露、漏洞利用)、中间人攻击、点击劫持等。这些技术是攻击者在发现漏洞后利用漏洞实施攻击的具体方法。 解题方法主要包括:寻找目标站点、分析目标站点、漏洞检测与利用、数据包截获与分析Webshell的利用与部署、绕过访问控制(如绕过IP限制、用户认证绕过)、漏洞修复与防御等。这些方法是CTF比赛中参赛者通过解题来获取Flag的具体步骤。 综上所述,CTF Web思维导图涵盖了Web漏洞类型、漏洞利用技术和解题方法。掌握这些知识和技能能够帮助参赛者更好地分析和利用Web漏洞,从而在CTF比赛中取得优异的成绩。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值