《ctfshow vip限免题目|CSDN创作打卡》

最新推荐文章于 2024-09-27 17:56:23 发布
最新推荐文章于 2024-09-27 17:56:23 发布
阅读量1.3k 收藏
点赞数 3
分类专栏: ctf 文章标签: unctf git 数据仓库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53517370/article/details/122782535
版权

ctfshow_vip限免题目

文章目录

robots后台泄露

hint:总有人把后台地址写入robots,帮黑阔大佬们引路。

url 输入 /robots.txt, 根据提示输入 /flagishere.txt,得到flag

打开无法查看源代码,F12,鼠标右键都不行。

四种方法:

  1. Ctrl+U
  2. Ctrl+Shift+I(开发者根据)
  3. 设置-更多工具-web开发者工具
  4. 网址前加入view-source查看源码

得到flag

协议头信息泄露

俩种方法

  1. 提示抓包,代理抓包,然后发送到鼠标右键repeater,点击GO,查看response,得到flag
  2. F12, 网络,响应头,找到flag

PHPS源码泄露

hint:phps源码泄露有时候能帮上忙

访问/index.phps,下载备份文件,得到flag

源码压缩包泄露

hint:解压源码到当前目录,测试正常,收工

访问www.zip下载源码,解压得到fl000g.txt,里面的是假flag,需要访问才会得到真flag

git版本控制泄露源码

访问/.git/

svn版本控制泄露源码

访问/.svn/`

vim临时文件泄露

在使用vim时意外退出,会在目录下生成一个备份文件(交换文件),格式为 .文件名.swp,访问/index.php.swp下载备份文件,得到flag

cookie泄露

F12 - 网络 - cookie - flag

域名txt记录泄露

域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息

根据提示解析域名 ctfshwo.com, 网址 http://www.jsons.cn/nslookup/

敏感信息公布

有时候网站上的公开信息,就是管理员常用密码

根据提示查找有用信息,用户名admin, 密码是最底部的电话号372619038,访问/admin,得到flag

内部技术文档泄露

技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码

观察网页,有超链接

在这里插入图片描述

打开后发现用户名,密码和网址,直接访问网址返回404,根据网址提示,访问/system1103/login.php,登录得到flag

编辑器配置不当

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

访问/ediotr,发现是一个编译器,点击上传图片,里面可以看到/var/www/html/nothinghere/中有fl000g.txt文件,访问/nothinghere/fl000g.txt, 得到flag

密码逻辑错误

公开的信息比如邮箱,可能造成信息泄露,产生严重后果

访问/admin, 忘记密码,只需要提交所在城市,根据网页的QQ邮箱,找到QQ号,添加好友得到地址西安,重置得到密码admin7789。登录用户名admin,即可得到flag

探针泄露

对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露

根据提示,访问/tz.php, 点击phpinfo,找到flag

CDN穿透

透过重重缓存,查找到ctfer.com的真实IP,提交 flag{IP地址}

命令窗口 ping ctfer.com 得到IP地址提交不正确,官方说 ping www.ctfer.com,试了一下不太行,ping ctfshow.com得到正确的ip地址。

js敏感信息泄露

一个小游戏,Crtl+U访问js源码,点击 src="js/Flappy_js.js",找到关于flag的语句

在这里插入图片描述

发现是一串 unicode编码,解码得到 你赢了,去幺幺零点皮爱吃皮看看, 访问 110.php,得到flag

前端密钥泄露

Crtl+U 查看源码,发现用户名和密码

    <!--
    error_reporting(0);
    $flag="fakeflag"
    $u = $_POST['username'];
    $p = $_POST['pazzword'];
    if(isset($u) && isset($p)){
        if($u==='admin' && $p ==='a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04'){
            echo $flag;
        }
}
    -->

根据信息在网页输入用户名密码提示错误。用hackbar post 传递参数

username=admin&pazzword=a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04

在这里插入图片描述

数据库恶意下载

mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。

早期asp+access架构的数据库文件为db.mdb,直接查看url路径添加加/db/db.mdb下载文件,用记事本打开搜索flag即可

就你叫Martin?
关注
专栏目录
蓝桥杯VIP题目与全套测试数据
12-01
"蓝桥杯VIP题目与全套测试数据"是一个针对编程竞赛爱好者和参赛者的重要资源集合,主要聚焦于"蓝桥杯"这一知名的全国性信息技术竞赛。蓝桥杯比赛旨在提升大学生和青少年的信息技术应用能力,尤其是编程技能,涵盖C/...
CTFshow-Web入门-Web1-20 (信息收集完结篇)
m0_61155226的博客
03-07 9710
CTFshow-Web入门-Web11-20 (信息收集完结篇)
CTFSHOW-web入门-信息搜集,爆破,命令执行
Yb_140的博客
02-19 4999
目录 Web入门 信息搜集 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20 爆破 web21 web22 web23 web24 web25 web26 web27 web28 命令执行 web29 web30 web31 web32 web33 web34 web35 web36
CTFshow信息搜集web1~web20详解
最新发布
m0_74312676的博客
09-27 706
下载文件打开,发现了一个网站地址和登录账号,尝试访问这个地址,结果访问不了,仔细查看地址中的,your-domain,发现是“你的网站地址”的意思。访问www.zip,下载压缩包,得到两个文件,查看fla000g.txt文件的内容,发现是flag,拿去提交,发现是错的,这个是假的flag。点击忘记密码之后发现有一个密保问题,问的是归属地是哪里,于是我们想到了题目提示的邮箱,通过邮箱查询qq号归属地,发现是西安。于是输入西安,就重置了密码,用重置的密码登录即可,用户名依旧是admin,拿到flag。
CTF-show VIP限免题目
qq_74388419的博客
03-20 500
var/www/html/nothinghere/fl000g.txt,访问即可得到flag,多次尝试后得知需访问。浏览器为Microsoft Edge。1.禁用JS,再查看源代码;大写的flag好像是错误的!3.ctrl+u查看源代码。网址访问/admin/
ctfshow 信息收集 web11-20
weixin_58519918的博客
01-19 2371
Wed11(域名) “域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息”提示信息,之后在域名解析查询(A/Txt/Cname/Mx/Srv/Aaaa...)这个网站上进行域名查询。 在方框内输入相关的域名(ctfshow.com)并在下拉处改变样式为Txt之后查询 就得到了falg。 Web12(管理员) “有时候网站上的公开信息,就是管理员常用密码”看题是进入管理员界面的所以打开之后在url后输入/admin进入管理员界面 他需要输入用户名和密码,admin应为用户名,密码
CTFShow web1-7——CTFWEB模块解题思路_ctfshow web题目解析
2401_84297035的博客
05-16 368
日志注入是文件包含漏洞的一种利用方式, web服务器的日志文件会保存网站的访问记录, 包括请求的源地址, 时间, 请求方式, User-Agent, Referer等HTTP请求头, 如果在这些请求头中插入代码, 则代码会被保存在web服务器的日志文件中, 当我们访问日志文件的时候, 文件中的代码则会被执行。解题过程中用到了两种文件包含漏洞的利用方式, 一种MD5加密的绕过方式, 一种SQL注入漏洞的绕过方式, 接下来, 针对这几种方式的实现原理解释一下。
MAC地址模拟打卡软件
05-24
该软件用于需要连接wifi进行打卡的软件,主要适用于平安、人寿等公司外勤人员打卡,该软件不需要root手机,适用于未升级的打卡设备
PC端QQ腾讯文档自动打卡程序项目
08-08
基于selenium库自动化爬虫实现的自动打卡程序,应用于电脑端QQ腾讯文档打卡情境。我所在的大学晚上九点有腾讯文档位置打卡的要求,本人总是忘记,因此开发了这个小程序来自动打卡。本人依靠这个已经实现打卡自由,对...
C# 人脸识别Demo(基于虹软免费SDK)完整版
08-21
C# 人脸识别 虹软免费SDK 原版高清下载,完整版 基于虹软最新的免费SDK写的C# 人脸识别的Demo,包含人脸检测,人脸对比...有关此Demo的详细信息可以阅读博客 http://blog.csdn.net/feishixin/article/details/77397027
一款不用手动打卡,自动调起钉钉上班打卡的App(是apk不是源码)
07-09
想要下载源码的可以到这个地址下载 https://blog.csdn.net/Mr___Xu/article/details/83688678
CTF--菜狗杯
m0_59022585的博客
07-09 3567
再使$_REQUEST[$_GET[$_POST[$_COOKIE['CTFshow-QQ群:']]]][6][0][7][5][8][0][9][4][4]=system("cat /f*"),查看f开头的文件内容。令_GET=a,则有:$key=_GET,$value=a,有:$$key=$_GET=$$value=$a,可知使用GET传入_GET=flag可以得到flag。令cookie中传入CTFshow-QQ群:=a,则有$_POST['a'],令post中传入a=b,则有$_GET['b']。
CTF-show WEB入门--web19
m0_73912575的博客
02-06 659
CTF-show WEB入门--web19
CTFShow web入门题刷题记录
打酱油的杯具的博客
11-15 1449
CTFShow web入门题刷题记录(信息搜集) web1 提示:开发注释未及时删除 打开网页查看源代码发现 flag:flag{2b2cf8e3-f880-41e1-a8ff-02601b3d998f} web2 提示:js前台拦截 === 无效操作 打开连接发现无法右键,f12,使用浏览器自带的工具查看(火狐:crtl+u)或者地址前加上view-source: flag:flag{18c9c586-99d5-47b8-8dcc-e404086c3a54} web3 提示:没思路的时候抓个包看看,可能
基于ctfshow的CTF专题——信息收集
rui_D的博客
05-12 1018
基于ctfshow的CTF专题——信息收集 源代码 web1(ctfshow) 题目描述:开发注释未及时删除 查看源代码 ctfshow{9287a906-6d8e-446b-bf9e-f22294a94603} web19(ctfshow) 题目描述:密钥什么的,就不要放在前端了 先尝试用户名:admin,密码:admin,显示错误 根据提示,密钥在前端,查看源代码发现 代码审计: 用POST传递参数username和pazzword username=admin pazzword=a599ac
CTFSHOW WEB入门 信息搜集 web1-20
sinat_41572027的博客
07-07 834
CTFSHOW WEB入门 信息搜集 web1-20
ctfshow1
lovechinasomuch的博客
04-17 306
使用vim时意外退出,会在目录下生成一个备份文件,格式为 .文件名.swp,访问/index.php.swp下载备份文件,用记事本打开即可得到flag。打开后先在url后面加/robots.txt 发现有flagishere.txt 在把robots.txt换为flagishere.txt得到flag。输入: flag.ctfshow.com 查询后,发现TXT里面存放了flag。在网页后输入index.phps把其下载好后 改为txt文件得到flag。在网页后输入.git即可得到flag。
ctfshow 密码逻辑脆弱
qq_55777983的博客
07-27 692
按照惯例先御剑扫 发现url/admin/ 猜测账号是admin密码是admin 失败,忘记密码康康 发现要什么城市 回去找线索 一般人还真想不到这个qq是线索,找了一万年 查找这个qq发现源自武汉 拿到密码,账号还是admin 拿到flag ...
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 685
ctfshow-web入门-信息收集wp
csdn创作打卡挑战每周都有吗
12-17
CSDN创作打卡挑战是社区中一个很受欢迎的活动,目的是鼓励开发者们每周都持续学习和分享技术文章。这个活动是定期举办的,每周都会有新的挑战。 参与这个挑战很简单,你只需要根据每周给出的主题或话题,撰写一篇与技术相关的文章,并在CSDN创作平台上发布。你可以分享自己的学习心得、解决问题的经验,或者介绍一些新的技术趋势和工具等等。每周结束时,CSDN会根据贡献的文章数量和质量,对参与者进行排名和打卡统计。 参加这个活动有很多好处。首先,它能促使你保持每周都学习和思考技术的习惯,避免停滞不前。其次,你可以结识更多的开发者,交流和分享各自的经验和见解。最重要的是,你的文章可以得到更多人的关注和阅读,有机会获得推荐和奖励,提高自己在技术圈的影响力。 总之,CSDN创作打卡挑战每周都有,你只需要利用自己的空闲时间,参与其中,无论是对于个人的成长还是技术社群的繁荣,都会有积极的影响。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

就你叫Martin?

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值