CTF-Web7、8(版本控制很重要,但不要部署到生产环境更重要)

已于 2023-08-21 17:02:26 修改
阅读量190 收藏
点赞数 1
分类专栏: ctfshow-web 文章标签: 大数据
于 2023-08-21 16:46:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47059164/article/details/132411807
版权

知识点:

版本控制:版本控制系统是一段时间内帮助跟踪代码中的更改的软件。 当开发人员编辑代码时,版本控制系统会为文件拍摄快照,目前开发人员都有通过git进行版本控制的习惯。

在发布代码的时候, .git 这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。

通过.git可以进行下载查看

具体情况可能用到的工具 

 GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。

Web8

知识点:除了git,SVN也一个开放源代码的版本控制系统,同样的也容易不小心发布出去

可以通过url/.svn/获取

具体情况可能用到的工具 

SVNhack是一种可以利用SVN漏洞的工具 

 

打怪兽的Sea
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
为新手快速入门CTF-Web开发的一款把靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
CTF萌新入坑指南(web篇)(21.6.5已新)
kingdring的博客
09-27 5805
ps:其实在写这篇入坑指南的时候内心还是十分挣扎的,毕竟大佬太多而我自己太太太太菜,然鹅我也不好拒绝温柔善良的郑童鞋的邀请,因此这篇文章只面向最最最新的萌新,各位大佬请自行忽略 前言 webctf里面占到的比重还是蛮大的,从国内有ctf赛事以来,web就一直是各 路出题人的宠儿,就比如说前段时间的某次分区赛初赛题目构成是7pwn 7web 1re 1misc,虽然在我看来这个题目分配过于偏激且离谱了,但是足以看出webctf中的重要性,线下赛pwn佬可能加关键,不过web手对于每个队伍都是
CTFHub | Log
尼泊罗河伯的博客
10-07 1446
根据题目描述,这个题目需要使用到工具 GitHack 来完成,而 CTFHub 上提供的工具需要在 python2 环境中执行,注意 python3 环境无法使用。因为对工具的不熟悉,且也不太了解 Git泄露漏洞。此题主要参考官方 writeup 来完成。
ctfshow版本控制泄露代码1,2
qq_45705626的博客
08-12 664
ctfshow版本控制泄露
CTFshow-Web入门》01. Web 1~10
学习学习学习......
11-18 2066
网页源码查看、抓包查看响应数据包、robots.txt 文件泄露、phps 文件泄露、网站备份压缩文件泄露、版本控制泄露、vim 缓存信息泄露、cookie 信息泄露。
WEB7.8
wzw_______的博客
07-10 61
选择器
CTF Show web入门 1——20(信息收集)wp和一些感想
weixin_43959885的博客
03-26 975
web1 信息搜集 此题为 【从0开始学web】系列第一题 此系列题目从最基础开始,题目遵循循序渐进的原则 希望对学习CTF WEB的同学有所帮助。 开发注释未及时删除 此题有以上备注,可以想到备注未删除,有备注的地方就是原来代码咯,因此联想到可以用鼠标右键查看源代码 web2 信息收集 此题为 【从0开始学web】系列第二题 此系列题目从最基础开始,题目遵循循序渐进的原则 希望对学习CTF WEB的同学有所帮助。 js前台拦截 === 无效操作 在题目界面可以看出由于js的使用已经无法使用查
ctf-gameserver:FAUST Gameserver,用于防御攻击的CTF
05-06
CTF游戏服务器这是用于。 它最初是为编写的,但可重复用于其他比赛。包含什么游戏服务器包含多个组件。 它们可能彼此分开部署,因为它们唯一的通信手段是共享数据库。 Web:基于的Web应用程序,用于团队注册和记分板...
ctfshow-VIP题目-Web-详细解题思路
最新发布
01-27
如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞/.git/config,在发布代码的时候,如果.git这个目录没有删除,直接发布了使用这个文件,可以用来恢复源代码,这造成git泄露,访问.git,...
CTF-Write-ups:TeamShakti成员维护的CTF撰写
03-31
我们参加过的CTF的论文集。 如何建造? 该文档当前部署在mkdocs中,为 。 当然,它也可以在本地部署,如下所示: 安装依赖性 # mkdocs pip install mkdocs # extensions pip install pymdown-extensions # theme ...
WEB7.8笔记
wzw_______的博客
07-08 94
选择器
CTF.show:web7-web8
qq_46230755的博客
01-15 917
web7 这题是一题盲注题,对url进行盲注测试 从网上找到的师傅的爆表名脚本 import requests url = "http://1060cceb-f9ef-4fb3-b273-034c74a0bd38.chall.ctf.show/index.php?id=-1'/**/" def db(url): # 爆库名 for i in range(1, 5): for j in range(32, 128): u = "or/**/ascii(s
web入门第七八天
qqing000的博客
11-23 218
caption标签,为表格添加标题和摘要 摘要    语法: 标题 用以描述表格内容,标题的显示位置:表格上方。      语法: 标题文本 … … … …
CTF-信息收集篇
weixin_44770698的博客
06-22 2318
ctfshow-web信息收集部分WP
CTF web总结
热门推荐
giantbranch的专栏
04-09 7万+
欢迎光顾我的新博客:https://www.giantbranch.cn 本文链接:http://blog.csdn.net/u012763794/article/details/50959166 本文根据自己的做题经验及各大练习平台不断新,若我最近懒了,没怎么新,请在下面提醒我或鼓励我 仅作为自己的笔记及刚入门的童鞋,大牛勿喷 基础篇   1.直接查看源代码   http:/...
实现Web API版本控制-springboot
前后端分离,人不分离!
11-27 749
定义统一的数据返回格式有利于提高开发效率、降低沟通成本,降低调用方的开发成本。
ctf/web源码泄露及利用办法【总结中】
Sp4rkW的博客
10-06 2万+
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用:工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因:在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变记录等...
CTFshow web入门——信息搜集
小元砸的博客
01-12 3951
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
CTF中常见Web源码泄露总结
大方子
10-04 2214
0x01 .hg源码泄漏 漏洞成因:   hg init的时候会生成.hg <span class="pln">e</span><span class="pun">.</span><span class="pln">g</span><span class=&qu
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得可以包含 flag.php 文件。具体的步骤如下: 1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过来绕过筛选器,构造如下 URL: ``` http://xxx.com/index.php?file=..%252Fflag ``` 这样就可以成功包含 flag.php 文件,从而获取 flag。 需要注意的是,这种漏洞具有比较高的危害性,因此在编写 PHP 代码时,一定要对输入进行过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值