文章目录
源码泄露
看题就是要我们看源码,在浏览器里 Ctrl + U 直接查看网页源码,这里也是可以直接看到flag
前台JS绕过
这个题就是不能用F12进行查看源码了,我们的 Ctrl + U 还是可以用的,直接可以得到flag
协议头信息泄露
题目提示要我们抓包,那就抓,抓完这样,什么也没看到
上网搜搜原来是要查看响应头,才能得到flag,记录一下查看步骤,一免以后忘记
先点图示位置
这里点击 Repeater 再点 Go ,就可以在右边看到flag
robots后台泄露
robots之前做过,就是在网站后面加上 /robots.txt 看他的目录,就可以得到flag
phps源码泄露
上网搜phps源码大概知道了phps文件就是php的源码文件,通常用于提供给用户查看php代码,但是因为用户无法直接通过Web浏览器查看php文件的内容,所以用phps文件代替。大概就是要我们查看phps文件所以直接在网址后面加 /index.phps ,下载phps文件后打开,可以看到fag
源码压缩包泄露
访问www.zip得到一个压缩包,看到一个flag,提交后提示错误,肯定是假的。又看了第二个文件,里面也没有flag,但是我们可以看到信息,关于flag的
那么就直接访问fl000g.txt得到flag
版本控制泄露源码
不知道这是啥,搜到的大概是这样
就访问.git看看,直接得到flag
版本控制泄露源码2
这次访问.git 发现并没有得到flag ,那就试试.svn居然又得到flag了
vim临时文件泄露
搜vim临时文件得知
- Vim是从 vi 发展出来的文本编译器。
看这个题的描述应该是有个什么文件的,需要我们去找一下。
搜集到的信息大概就是:
- vim意外退出的话,再次打开该文件就会提示存在一个.swp的隐藏文件,意味着该文件正在被编辑。
所以我们访问index.php.swp就可以得到flag了
cookie泄露
抓包直接可以看到flag
域名txt记录泄露
在网上找个在线域名解析,解析后得到flag
敏感信息公布
打开网站,访问 /admin 弹出登陆窗口,根据题目的提示 大致就是,密码在页面上,看到最下面的手机号试试
登陆成功后就可以看到flag了
内部技术文档泄露
打开网站,题目是关于文档的,就找关于文档的东西,在最下面可以看到document,直接点进去
根据上面的后台地址,得知我们要访问 /system1103/login.php 来登陆,输入正确的账号密码就可以得到flag了
编辑器配置不当
根据提示访问 /editor/ 得到下图
点击插入文件,在文件空间里找到fl000g.txt
随后访问路径
也就是 /nothinghere/fl000g.txt 就可以得到flag
密码逻辑脆弱
尝试访问 /admin之后发现我们不知道密码,但是还可以看到下面有一个忘记密码的选项,点进去让我们输入他所在的城市,想到网站最下面有一个QQ邮箱,其实就是去搜一下那个QQ就可以看到一个地点了
输入之后就得到了新的密码
那么账号自然是 admin 了,一般情况下,都是,除非注明了。
接下来就只需要重新登陆,这样就可以得到flag
探针泄露
访问 /tz.php 接着点击图示位置
然后就是疯狂寻找,就可以找到flag了
CDN穿透
了解一下CND
大致就是存在CND的网站我们不能直接查询得到其ip地址
网上找的方法是直接在cmd 操作窗口ping www.ctfshow.com 就可以得到flag 了
js敏感信息泄露
访问110.php得到flag
前端密钥泄露
首先查看源码找到并且赋值图示秘钥
然后直接抓包,进行post传值得到flag,具体步骤看下图
对pazzword赋值,就是前面那个秘钥,并点击Go得到flag
数据库恶意下载
直接访问 /db/db.mdb 下载文件并用记事本打开,得到flag
所有题目结束