CTFHub 目录便利 解题思路

最新推荐文章于 2024-06-06 14:23:21 发布
最新推荐文章于 2024-06-06 14:23:21 发布
阅读量392 收藏
点赞数
分类专栏: CTF小白 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45736958/article/details/116354140
版权
本文介绍了目录遍历的概念,这是一种由于服务器配置错误或应用程序验证不足导致的安全漏洞,允许攻击者访问服务器上的任意文件。文章还详细讲述了如何进入解题环境,包括打开页面并逐个访问来寻找flag。
摘要由CSDN通过智能技术生成

目录遍历

一、目录遍历是什么?

目录遍历(路径遍历)是由于web服务器配置错误,或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,攻击者可以利用该漏洞读取运行应用程序的服务器上的任意文件,甚至执行系统命令。

二、进入环境

在这里插入图片描述

2.打开页面,挨个访问

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3.flag

在这里插入图片描述

最低0.47元/天 解锁文章
曹振国cc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ctfhub解题 web 信息泄露
weixin_46703850的博客
03-14 672
记录解题过程
CTFHub-目录遍历
m0_69003772的博客
04-23 1850
CTFHub目录遍历解题过程
CTFHub:web前置技能-信息泄露-目录遍历篇
最新发布
wdnmddbl的博客
06-06 498
路漫漫其修远兮,吾将上下而求索。本文涉及以下知识点,去引用文章学习即可:大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)思路:访问敏感目录
Ctfhub解题 web RCE
weixin_46703850的博客
03-20 932
Ctfhub解题 web RCE
Ctfhub解题 web SQL注入(全部完整版)
weixin_46703850的博客
03-15 5360
Ctfhub解题 web SQL注入
CTFhub-目录遍历
Moyv的博客
01-26 740
CTFhub-目录遍历
CTFHUB-WEB-目录遍历
carrot11223的博客
10-27 137
题目本身没有任何难度,就是点击随便翻文件,然后找到我们的目标文件。需要注意的是每次点击1,会在1目录中,但是仍然显示的是1/2/3/4,可能没有太注意的时候,还以为自己在根目录下。最终在 Index of /flag_in_here/2/2中找到flag.txt,提交flag。
CTF题库解题思路.xls
01-25
CTF题库解题思路
CTFHub Git泄露—Index解题思路笔记
曹振国的博客
05-07 1599
文章目录一、开启环境1.使用dirsearch工具扫描目录2.使用GitHack工具3.打开文件夹查看历史文件4.使用git diff比对文件五、FLAG 一、开启环境 1.使用dirsearch工具扫描目录 python3 dirsearch.py -u http://challenge-df934588d76028e3.sandbox.ctfhub.com:10080/ 发现存在Git泄露 2.使用GitHack工具 python GitHack.py -u http://challenge
CTF常见题型及解题思路.docx
10-22
CTF比赛通常围绕寻找并提交特定的"flag",这个flag通常是一个加密或隐藏的字符串,代表了成功解题的证明。 **Web安全**是CTF中常见的一个领域,主要关注的是基于HTTP协议的80端口上的网页应用漏洞。以下是一些关键...
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
CTF有效的目录扫描工具
12-13
CTF有效的目录扫描工具
CTFHub ShellShock解题记录
weixin_44732566的博客
04-07 1775
CTFHub Bypass disable_function ShellShock ShellShock,破壳漏洞,出现于2014年 可以通过以下命令来判断是否存在这个漏洞 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果结果中有 vulnerable说明存在这个漏洞,执行了echo vulnerable这个语句...
CTFHub----目录遍历
unexpectedthing的博客
08-03 1232
信息收集目录穿越目录遍历概念原因漏洞利用常见的绕过方式任意文件下载 目录穿越 点开进去,发现是许多目录,就是目录遍历的考点 一个一个的试,发现在/4/2,有flag.txt,点开得到flag 目录遍历 概念 目录遍历是由于web服务器或者web应用程序对用户输入的文件名称 安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些 特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是web目录以外的文件),甚至执行系统命令。 原因 目录浏览漏洞是由于网站存在配置缺陷,导致网站目录
CTFhub技能书解题笔记-Cookie
qq_43006864的博客
12-09 1493
一:打开题目,主页给出的提示是,仅仅只有admin用户,才能看到flag 二、这里我们还是打开burpsuit,抓包看一下数据包。通过对该页面进行抓包,发现了cookie位置的值为:admin=0。那么可以理解为现在是因为admin=0,所以我们非admin用户,就无法看倒flag。 这里因为0和1通常用来表示“否”和“是”,所以这里我们将0改为1。 得到flag ...
CTFhub 文件包含
qq_41497476的博客
07-27 2541
这类题目很久以前接触过,也有过应用,主要的方法是利用一些伪协议完成后台信息的提取 题目源码 <?php error_reporting(0); if (isset($_GET['file'])) { if (!strpos($_GET["file"], "flag")) { include $_GET["file"]; } else { echo "Hacker!!!"; } } else { highlight_file(__FILE_
CTFHub技能书解题笔记-文件上传-文件头检查
qq_43006864的博客
01-07 1003
打开题目 到这里看起来没啥异样,上传个马子试试。 看起来过滤了一些东西啊。这里继续上传马子 看来也检测内容了。 只允许上传图片格式,那做个图片马试试。 这里图片马的指令: win:copy xxx.jpg/b + xxx.php 图片马.php /b 表示以二进制方式打开 /a 表示以ASCII方式打 这里我生成的事php的马子,是因为本道题死一到后端过滤的。 后端过滤我们需要把文件格式也改为JPG之类的。 成功 上传完毕shell连接成功。 ...
动态加载器的知识学习及CTFHUB动态加载器解题
hapenl的博客
10-21 1406
本文介绍了Linux动态库加载器的基本知识,介绍了ELF文件的查看指令以及执行文件的执行链路的查看,最后通过可执行的动态加载库来绕过没有执行权限的执行文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值