一道简单的CTF社工题思路

最新推荐文章于 2024-05-16 10:07:09 发布
最新推荐文章于 2024-05-16 10:07:09 发布
阅读量1.6k 收藏 13
点赞数 8
文章标签: html5 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53829555/article/details/127077619
版权

最近开始迷上了玩CTF,今天遇到一个很狗血的社工题,与其说是社工,但是又搞得很杂,下面我来给大家讲讲这道题目的思路.
题目来源:https://ctf.bugku.com/challenges/detail/id/187.html
注:本文章纯属学习交流,切勿用于违法途径.如有侵权请联系删除.

目录

网站根目录分析

  1. 首先运行环境,这里看到给了我们一个QQ刷钻的网址.
    在这里插入图片描述

  2. 老规矩,既然拿到网址,那就先对他进行目录扫描
    2.1 这里咱们扫描到了八个网址,其中有几个包含了文件夹,起初我以为flag就藏在这些根目录的文件夹文件里了,但是看了一下啥都没有.后面我转念一想既然是社工题,总不能没有一点社工的影子吧.
    在这里插入图片描述

    2.2 后面我打开了/admin/logo.php的根目录,发现疑似为网站后台,咱们要的flag可能就藏在后台里.但是我又没有密码,于是我就想这个密码可能就是要通过社工的手段获取.
    在这里插入图片描述

社工分析

  1. 原网站通过打开开发者工具看到"下载辅助"这里有一个压缩包附件.这里咱们下载打开.

最低0.47元/天 解锁文章
旖蔚安全实验室
关注
  • 8
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
CTF练习——社工-进阶收集,小明打了一局CTF追到了小美
Jum的博客
11-26 2575
目 分析目 重点分析 再次分析 验证结果 拿目 附件就只有一张图,是QQ空间饿的说说。 分析目 使用百度识图技术初步判断该图的位置。得到如下重要结果:可以判断出这个是西安的大雁塔,来锁定位置是西安。 接着,从评论中对话,我们大概可以获得以下信息: 1、小美距离大雁塔一共有七站地铁,其中要进行中转。 2、时作者是从始发站出发的,距离下一站有一公里多,距离始发站800多米。 根据地铁的线索我们想着是赶紧去查询西安地铁线路图。西安地铁官网https://...
Bugku CTF Web bp & 社工-伪造
网安小趴菜
11-16 1269
Bugku CTF Web bp & 社工-伪造 wp
带你上分,顺便拿下CTFBugKu 社会工程学
最新发布
baimao__Ch的博客
05-16 373
干: 姓名:张三 生日;19970315 KEY格式KEY{xxxxxxxxxx}解析: 直接首字母zs,生日,就行答案: flag{zs199970315}
开源情报分析(OSINT)CTF社工类2万字详细教程,请不要利用本文章做不道德的事,后果概不负责
Ba1_Ma0的博客
05-14 9023
简介 现在国内外最新的ctf比赛都有这个项目了,列如给你一个照片找地址或者人名,给你一个名字找他的社交账号什么的,考验选手的信息收集与社工能力,这篇文章对这类型做一个基础的总结,以后遇到这种型就知道该怎么做了 本文章会教你们关于查找有关个人信息以及其他危险的技术,请不要做不道德的事,在任何时候都不应该将此技术用于未授权的事 开源情报分析简介(如果不是情报分析人员可以不用看) 在企业和社交媒体上都有公开信息,这些是对我们开源的,所以叫做开源情报分析 然后是情报搜集步骤 情报搜集步骤由五个部分组成 规划和
BugKu CTF(杂项篇MISC)—社工-进阶收集
小司机的奥拓
08-01 627
5.最后试出来是兰乔国际城。这时候你当然需要一份系统性的学习路线如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。一些我收集的网络安全自学入门书籍一些我白嫖到的不错的视频教程:上述资料【点下方卡片】就可以领取了,无偿分享。
CTF训练 web安全目录遍历
梁辰兴的博客
10-23 1139
路径遍历攻击(也称目录遍历)旨在访问存储在web根文件夹之外的文件和目录。通过操纵带有 “点-斜线(…)” 序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件及目录,包括应用程序源代码、配置和关键系统文件。需要注意的是,系统操作访问控制(如在微软Windows操作系统上锁定或使用文件)限制了对方的访问权限。这种攻击也称为 “点-斜点线”、“目录遍历”、“目录爬升” 和 “回溯”。
[Linux/CTF]Linux重要目录和文件总结
車鈊的博客
07-30 966
CTF中的重要文件总结(记得更新…) 目录角度看文件结构 目录 预期的内容 /bin 二进制文件,存放了基本的指令,依据先后顺序。 /sbin 超级管理员专用指令,依据先后顺序。 /usr 用户安装的软件和文件。 /usr/bin 也存放指令,依据先后顺序。 /usr/sbin 也存放指令,依据先后顺序。 /usr/local/ 系统用户级管理员在本机自行安装自己下载的软件。 /root 系统管理员用户root主目录。 /home 除root用户的所有用户文件存储
CTF中的小细节(持续更新)
xiaoka__的博客
10-24 1773
1.x-forwared-for和x-real-for要放在UA下面
社工考试附答案.pdf
11-22
社工考试附答案.pdf
社工收集信息思路.xmind
12-06
社工收集信息思路.xmind
2021最新整理社工面试试及答案.pdf
10-21
2021最新整理社工面试试及答案.pdf
社工CTF等常用字典-字典.zip
08-13
社工CTF等常用字典-字典.zip
社工考试及答案.pdf
11-23
社工考试及答案.pdf 本资源摘要信息来自社工考试及答案.pdf,涵盖了社会工作的多个方面,包括社会工作程序、服务对象、计划评估、服务目标、人际关系、儿童发展、老年社会工作、社会需求取向等。 1. 社会工作...
CTF-目录遍历
su__xiaoyan的博客
12-28 3426
目录遍历 目录遍历(又称为路径遍历攻击、目录爬升或者回溯),旨在访问存储在web根目录文件夹之外的文件和目录,通过操纵带有“点-点-斜线”序列及变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置文件和系统关键文件。但是系统访问控制限制了对于某些文件的权限。 利用目录遍历漏洞getshell的思路 上传webshell到服务器上面,通过对应的目录遍历漏洞访问webshell,执行webshell,在攻击者的机器上面获取并反弹shell。 实
CTF社工-初步收集
qq_74263993的博客
04-07 268
说已经20 了,那么他应该是2001年出生的,“前两天”那生日无非就是2月6日,根据中国人的传统补全0,那么就是20010206的生日,姓名就是mara。看了别人的文章发现那个不是密码是授权码,所以用qq邮箱登录了(但是有些***把授权码改了所以后面写的人是登录不进去的)下面是网上以前登录成功的截图。没发现什么有用的信息那我们就去wireshark看看数据包喽(谁叫目叫社工收集)时间多的可以爆破一下(反正我爆不出来),接着我们下载那个压缩包看看。过滤一下smtp发现了编码的user和pass。
CTF(bugku)——社工进阶收集
ashuang6的博客
08-23 1212
Ctfbugku)—社工进阶收集 下载打开图片不知道怎么下手。 并且地理也不好,也不认识什么塔,就去百度搜了一波中国各个古塔相关的夜景照片。谁能想到一下子就遇到了我想要的。 知道了它是西安的著名景点—大雁塔,确定了城市。然后图片也没啥用了,接着看她发的图片动态说明和下面的评论。有用的信息 (坐了7站到的大雁塔、始发站距离她家800米、下一站距离她家1公里、中途换了一站。) 接下来我打开地图搜索西安的地铁航线图,找到大雁塔地铁站,然后寻找符始发站到大雁塔为7站的地铁站就有两站,一站是鱼化寨,一站是
ISCTF新生赛(引用传递&简单社工)
weixin_63231007的博客
11-28 792
而cat类中的 dog函数会对变量 $this->a 赋值字符串,我们可以利用这个$this->b = $this->c来给 $this->a 赋值 new mouse类,具体方法就是让$this->b = &$this->a,引用传递,之后die($this->a);根据 小港(南) 上北下南,肯定是红线,然后我们 去高雄捷运官网,根据唯一已知的末班车时刻表信息区查一下对应的站点。搜着搜着好多不是,但是最后猛地看见一个特别熟悉的背景,这不就是图里背面的画吗?我们搜索一下巨蛋站的信息,再确认一下。
CTF训练——10道小
m0_74137767的博客
02-26 331
提示:flag会有变动,不要在Bugku网站抄答案。
LitCTF Web、社工AK 以及部分misc和crypto
Hama_ecco的博客
05-14 610
LitCTF
007-CTF web型总结-第七课 CTF WEB实战练习(三).pdf
07-09
"007-CTF web型总结-第七课 CTF WEB实战练习(三)主要涵盖了CTF网络安全竞赛中的Web挑战,包括入门的三个部分:基础型、社工篇和高级篇。这份资料旨在通过实际操作和解过程,帮助学习者熟悉CTF比赛中的常见技巧...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值