[ctf web]拿到一个网页可以做哪些尝试

最新推荐文章于 2024-05-08 09:39:22 发布
最新推荐文章于 2024-05-08 09:39:22 发布
阅读量788 收藏 8
点赞数 3
分类专栏: ctf # web
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/118811132
版权

web test

看看:

源代码

cookie

header

目录遍历


一、可以试的后台:

admin

login

robots.txt

source

1.源码泄露:

*.phps

www.zip

*.php.bak

1.1 常见的网站源码备份文件后缀
  • tar
  • tar.gz
  • zip
  • rar
1.2 常见的网站源码备份文件名

  • web

  • website

  • backup

  • back

  • www

  • wwwroot

  • temp

1.2.1安装

install.php

1.3 vim:

.*.php.swp

.表示隐藏文件	

获取到swp文件后,直接编辑的话是一堆乱码,因为其并不是文本格式

使用以下命令来查看当前目录下的所有swp文件
vim -r

使用以下命令来恢复文件
最低0.47元/天 解锁文章
shu天
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
CTF-WEB(攻防世界题目-新手区)
皮卡乒的皮卡乓
09-27 3317
CTF-WEB新手区view_sourcerobotsbackup 新手区 view_source 题目:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 解:右键有用不了,那就直接用F12,查看源码 可以看到这里的注释即为Flag robots 题目:X老师上课讲了Robots协议,小宁同学却上课打了瞌睡,赶紧来教教小宁Robots协议是什么吧。 解: 一进来,啥也没有。根据题目,是robots协议: robots协议也叫robots.txt(统一小写)是一种存放于网站根目录
CTFweb学习记录 -- 网站信息搜集
lifanxin的博客
07-06 643
网站信息搜集概述GitHackDirSearch总结 概述   我个人自学web已经有了一段时间了,但总感觉少了些什么,从题角度上来讲,遇到的web题要么是直接给了源码需要审计的,要么是会给足够的提示,让你知道是考察注入还是文件上传等。那么如果不给源码,不给提示呢,我们面对一个功能众多的网站该如何下手?此时就需要这一章的内容,我愿称其为web学习灵魂的章节。   接下来我将根据题的积累,介绍下ctf常用的一些信息搜集思路和工具。 GitHack   GitHack   现在的开发人员使用git进行版
CTFshow web入门之信息收集(web1-web20)
小白的博客
05-10 682
得到一个IP地址或网址时第一步:查看源码第二步:网页上查找是否有有效信息第三步:查看是否存在说明文件rotobs.txt第四步:通过御剑或dirsearch扫描探测是否存在其它页面第五步:按照网页的框架信息查看是否存在测试文件或备份文件。
弱口令(Weak Password)总结和爆破工具
最新发布
baimao__Ch的博客
05-08 1206
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
BugkuCTF_Web——“管理员系统”、“网站被黑”
Ho1aAs‘s Blog
09-08 934
文章目录使用工具一、“管理员系统二、“网站被黑”完 使用工具 御剑WEB目录扫描 Burpsuite 一、“管理员系统 题目是登录账户 提示管理员系统,先尝试账户和密码都是admin进行登录并且抓包 提示需要联系本地管理员 页面有一串base64编码,得到管理员账户的密码是test123 尝试使用密码test123登录账户admin 同样提示联系本地管理员 使用X-Forwarded-For指向本地127.0.0.1 得到FLAG flag{85ff2ee4171396724bae20c0b
CTF日记之web题目(入门题目)
sunleibaba的博客
01-22 946
CTF日记 今天的题目是i春秋ctf的:“百度杯”CTF比赛 2017 二月场 web 爆破-3 如图所示网页,可以看到是一道代码审计的题目: <?php error_reporting(0); session_start(); require('./flag.php'); if(!isset($_SESSION['nums'])){ $_SESSION['nums'] = 0; $_SESSION['time'] = time(); $_SESSION['whoami'] = 'e
ctfhub web全部题记录(持续跟新)
01-08
Web安全】Web安全是网络安全的一个重要分支,主要关注Web应用程序的安全性,防止诸如SQL注入、XSS攻击、文件上传漏洞等威胁。 【信息泄露】信息泄露是指由于配置错误或不安全的设置导致敏感信息暴露。在描述...
CTF-5#进击!拿到Web最高权限-WP
10-23
我们需要新建一个txt文本文件,内容为asp一句话,asp一句话可以随便百度一个就行,比如:("MH")%>。保存,后缀改为.asp,这里命名为1.asp。然后,我们可以上传这个文件,但是会报错,发现对上传的文件后缀进行检测。...
CTF Web解题大解密:如何找到神秘的Flag,成为夺旗赛的MVP
12-29
在网络安全的领域里,CTF(Capture The Flag)竞赛已经成为了一种检验技能和提升知识的重要方式,特别是Web解题部分,它将理论与实践紧密结合,让参赛者在寻找隐藏的Flag体验到黑客攻防的乐趣。为了在CTF Web解题...
CTF工具之御剑后台扫描(web).rar
09-16
1. **下载安装**:首先,你需要将"CTF工具之御剑后台扫描(web)"这个压缩包解压,然后按照说明文档进行安装。 2. **配置参数**:根据目标网站的信息,设置相应的扫描参数,如URL、端口、用户名列表等。 3. **启动...
CTF工具之WEB.zip
10-07
总的来说,这个“CTF工具之WEB.zip”集合了Web安全领域的一系列关键资源,涵盖了从信息收集、漏洞探测到攻击模拟和防御分析等多个环节,对于CTF参赛者或是希望提升Web安全能力的人来说,是一个极其有价值的工具库。...
ctf web基本步骤
热门推荐
小小白的博客
06-27 3万+
大家ctf简单点的都可以用这些判断,基本上都会有,除非个别变态的。 1. 看源码 可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2. 抓包 这几天接触到的抓包一般是用burpsuite,如果要多次尝试可以右键->【send t...
CTF攻防世界web题思路解析2robot
m0_63687631的博客
12-22 1818
1.得到了网址,打开;发现是个空白页 2.然后查看一下源码,发现flag不在这儿 3.然后结合一下题,查下下robot协议;得到robot协议就是告诉爬虫这个网址里面有东西不能被搜到,然后改变网址查下什么内容不能被搜到,在网址后加/robots.txt,然后访问得到这个 4.根据简单翻译,user-agent是使用者代理的意思,disallow是驳回的意思,所以结合robots协议,就是使用者代理告诉我们disallow的内容被驳回了,导致我们不能正常访问,所以我们在网址后边加上这些/..
ctfWEB练习一
渗透测试研究中心
12-15 713
一、查找备份文件1.通过https://github.com/maurosoria/dirsearch进行目录扫描python3 dirsearch.py -u http://10.10.10.175:32770 -e *2.最终获得index.php.bk备份文件,然后下载下来查看源码,即可获得flagflag为:Cyberpeace{855A1C4B3401294CB6604CC...
一款Web 弱口令(后台密码)爆破\检测工具-Boom
siu~
08-18 1908
Boom 是一款基于无头浏览器的智能 Web 弱口令(后台密码)爆破\检测工具
网站后台爆破工具:WebCrack
zxのdream
10-30 3万+
webcrack 网站后台爆破工具
【信息收集】对后台目录进行爆破
wj33333的博客
11-24 774
进行后台目录爆破的主要目的是枚举可能存在的敏感信息,这些信息可能被组织用于控制其网络基础设施和服务。通过爆破技术,我们可以识别潜在的漏洞并试图利用它们来访问未经授权的数据和系统资源,用来进行测试。它可以帮助发现一个组织的所有已知和未知资产,并且可以通过在 Internet 上公开可用的数据源搜索与给定父域名相关的信息来提高网络安全状况。是一个用于枚举和发现 Web 应用程序存在的目录列表的工具。是一款开源的 Web 安全扫描器,可以帮助您发现 Web 服务器的配置错误、软件漏洞和已知的安全问题。
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1385
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
CTF.............
小白渣的博客
09-25 738
<div class="article-copyright"> <span class="creativecommons"> <a rel="license" href="http://creativecommons.org/lice...
学习CTF web方向需要哪些知识技能
05-19
学习CTF web方向需要掌握以下知识和技能: ...7. CTF题目练习:通过一些经典的CTF Web题目,加深对Web安全和漏洞的认识。 总之,要成为一名优秀的CTF Web选手,需要不断学习和实践,并积累经验。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值