ctfshow做题记录(二)
这里写目录标题
1.域名txt记录泄露
根据题目我在网页中搜索了一下DNS查询域名txt,发现有这种在线工具,于是用在线工具对flag.ctfshow.com进行查询,最终得到了flag
2.敏感信息公布
通过访问/robots.txt查看后台地址/admin
然后访问/admin后需要进行登录,根据题目中的提示有时候网站上的公开信息,就是管理员常用密码,在网页的最下方有一串数字帮助热线号码,这串数字就是登录密码,登录后得到了flag
3.内部技术文档泄露
打开后在浏览过程中发现下面有一个文档,并且可以点进去,然后发现了以下信息
然后通过访问后台地址并输入用户名和密码,登录后得到了flag
4.编辑器配置不当
题目中出现提示:“editor”,于是尝试访问/editor进入到了一个可以提交文件的页面
然后在文件空间中发现一个fl000g.txt的文件
然后尝试访问/nothinghere/fl000g.txt ,得到了flag
5.密码逻辑脆弱
根据题目中所说,公开的信息可能会造成信息泄露,比如邮箱,然后确实在网页中找到了一个公开的QQ邮箱
通过用QQ搜索发现,他有一行简介是“在西安”
在网址后加/admin进入后台登录页面,然后点击忘记密码,发现密保问题是问所在的城市,输入后得到重置的密码
然后再次返回登录页面,输入重置后的密码登录,最后得到了flag
6.探针泄露
首先对探针进行搜索进行一下简单的了解,然后在网址的后面加上/tz.php进行访问
然后在phpinfo中找到了flag
7.js敏感信息泄露
打开之后发现是一个网页小游戏,于是我就直接查看了源代码发现了这个东西
点开之后,在里面发现了一串unicode码,复制下来,在网页上用在线转换工具转换成中文
根据音译,应该是要访问/110.php,尝试了一下,得到了flag
8.前端秘钥泄露
打开题目后发现是一个登录页面,尝试了一下最普遍的账号admin,密码123456发现并没有啥用,于是就查看了源代码,在后面发现了账号密码,但是输入后还是显示密码错误,于是准备尝试一下用bp抓包
然后在bp中通过重发器重新发送得到了flag
9.数据库恶意下载
题目中介绍了关于mdb文件的一些知识,于是想这这个题应该跟mdb文件有关,于是在网址后加上/db/db.mdb访问,下载下来一个mdb文件,用记事本打开后发现是一堆乱码,于是尝试搜索了一下ctf,找到了flag
250
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
