ctf.show VIP限免题目(13~20关)

最新推荐文章于 2024-02-18 23:33:11 发布
最新推荐文章于 2024-02-18 23:33:11 发布
阅读量814 收藏 1
点赞数
分类专栏: 安全 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53105784/article/details/115831227
版权

信息泄露

13.内部技术文档泄露

在这里插入图片描述
打开网站,是一个不知道是什么的网站,既然题目是关于技术文档的东西,就找关于文档的东西呗,果然,翻到最下面就找到了
在这里插入图片描述
进去下面就有后台登录的账号和密码
在这里插入图片描述
不过打开并地址不能访问,提示找不your-domain的服务器,翻译一下就是:你的网域,因为这个题目不是给一个做的,每个人打开题目的域名也是不一样的,所以需要把/system1103/login.php粘贴到打开域名的后面
简单来说,就是访问/system1103/login.php,输入账号密码就能得到flag

14.编辑器配置不当

在这里插入图片描述
题目有个editor的单词,有点不对劲,访问:/editor/,得到下图
在这里插入图片描述
点插入文件(第二排倒数第十个)
在文件空间中按tmp/html/nothinghere这个路径找到fl000g.txt,确定,得到一堆路径
在这里插入图片描述
前面的是编译器的绝对路径,我们访问后面的/nothinghere/fl000g.txt就可以得到flag了

15.密码逻辑脆弱

在这里插入图片描述
打开网站,访问:/admin/,弹出个登录页面,以为账号是admin,密码是最下面的qq邮箱,然而并不是,不过这个登录页面是有个忘记密码选项,密保问题是所在地是哪个城市
在这里插入图片描述
QQ邮箱上的QQ还是可以查一下呢,果然城市就出现了
在这里插入图片描述
输入密保答案,就得到密码,那账号就是admin

16.探针泄露

在这里插入图片描述
根据题意,访问:/tz.php,找到phpinfo点进去
在这里插入图片描述
靠自己的本事寻找吧,flag就在里面(本人不才,直接找其他师傅的wp。。。才看见flag)
在这里插入图片描述

17.CDN穿透

在这里插入图片描述
直接win+R打开cmd,输入ping www.stfshow.com就能得出IP地址
在这里插入图片描述

18.js敏感信息泄露

在这里插入图片描述
打开网站,找到js文件
在这里插入图片描述
是Unicode解码,解码地址

解码得出:你赢了,去幺幺零点皮爱吃皮看ݰ

根据提示访问:/110.php得出flag

19.前端密钥泄露

在这里插入图片描述
F12查看源代码
在这里插入图片描述
用BurpSuite抓包,把pazzword改为a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04,即可得到flag
在这里插入图片描述

20.数据库恶意下载

在这里插入图片描述
访问:/db/db.mdb下载文件,用记事本打开就能得到flag
在这里插入图片描述

jemo也怕检查
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW-VIP题目-WP
2402_84133101的博客
04-13 835
这就引起了 git泄露漏洞/.git/config,在发布代码的时候,如果.git这个目录没有删除,直接发布了使用这个文件,可以用来恢复源代码,这造成git泄露。vim在编辑时会生成一个隐藏的临时文件,当vim非正常闭时这个文件就会被保留下来,根据题目提示,访问index.php.swp,打开文件看到flag。访问/admin,用户名为admin,密码为372619038,成功登录,发现flag。根据题目提示,访问/db/db.mdb,打开文件,搜索ctfshow,发现flag。
CTF show萌新题系列
12-22
题目地址:https://ctf.show 0X01 萌新_密码1 1.16进制转字符串 有很多网站可以实现,这里我也附上我的脚本: # author: 羽 def hex_to_str(): while True: s = input("输入要转成字符串的16进制(输入空字符串退出):") if s=='': break k='' try: for i in range(0,len(s),2): j = s[i]+s[i+1]
59-59.渗透测试-CTF题目案例.mp4
05-10
59-59.渗透测试-CTF题目案例.mp4
CTF指南-常规的CTF题目解析.pptx
10-12
CTF指南-常规的CTF题目解析
66-66.渗透测试-CTF题目分析.mp4
最新发布
05-10
66-66.渗透测试-CTF题目分析.mp4
ctfshow---vip题目1~10
zhhhb1005的博客
04-03 2357
目录 源码泄露 前台JS绕过 协议头信息泄露 robots后台泄露 phps源码泄露 源码压缩包泄露 版本控制泄露源码 版本控制泄露源码2 vim临时文件泄露 cookie泄露 源码泄露 这一题主要考察如何查看网页源代码,查看方式主要有三种 在网页前面加上view-source: 右键页面,点击查看页面源代码 键盘上按下F12打开开发者工具,在查看器中查看源代码 这一题随便一种都可以查看源代码。 前台JS绕过 这一题右键和F12都没有办法使用...
ctf.show VIP题目(1~12)
jemo的博客
04-08 688
信息泄露1.源码泄露2.前台JS绕过3.协议头信息泄露 1.源码泄露 F12查看源代码,得到flag 2.前台JS绕过 还是查看源代码,这次F12不行 还可以用:ctrl+u,在网站前面加view-source:等方法绕过 3.协议头信息泄露 根据题目要使用BP抓包来解决 ...
ctf.show_VIP题目(全)
BvxiE的博客
03-25 5365
VIP题目源码泄露前台JS绕过手动源码查看ctrl+u或在网站前面加view-source:Burpsuite禁用javascript的方法协议头信息泄露robots后台泄露补phps源码泄露源码压缩包泄露版本控制泄露源码版本控制泄露源码2vim临时文件泄露cookie泄露**注意:用其他浏览器得到的很奇怪** 这题目全英…英语废一个,所以我把题目全部复制过来了 源码泄露 ‎ 您没有访问所请求资源的权。它要么是受读保护的,要么不能被服务器读取。 题目提示源码…那就找源码吧! 前台JS绕过 提示
ctfshow 群友挑战 CTFshow福利抽奖
ScyLamb的博客
03-05 1021
打开即可看见flag【域名后面不能有路径,如https://www.baidu.com/】 然后去提交flag,可以清楚的发现没有提交flag的框**!!!** 然后,憨憨的我跑去环境中找,看看有没有后台啥的 再然后,我发现我是憨憨,没有提交框就自己写个呗。。。 如下,简简单单的Python脚本: import requests url='https://ctf.show/api/v1/challenges/attempt' data='{"challenge_id":"1089","submissi.
CTF-show VIP题目
qq_74388419的博客
03-20 401
var/www/html/nothinghere/fl000g.txt,访问即可得到flag,多次尝试后得知需访问。浏览器为Microsoft Edge。1.禁用JS,再查看源代码;大写的flag好像是错误的!3.ctrl+u查看源代码。网址访问/admin/
ctfshow vip题目|CSDN创作打卡》
Martin-share的博客
02-04 1072
ctfshow vip题目,robots后台泄露,版本控制git,svn,协议头信息泄露,PHPS源码泄露, 源码压缩包泄露,vim临时文件泄露,cookie泄露,域名txt记录泄露,敏感信息公布,内部技术文档泄露,编辑器配置不当,密码逻辑错误,探针泄露,CDN穿透,js敏感信息泄露,前端密钥泄露,数据库恶意下载
2022工业互联网大赛-杭州-CTF题目
09-14
第一次参加工控类的CTF,然后正好团队中有一个小伙伴电脑连不上局域网,只能从我电脑中下载下来,因此这次正好有完整的题目和附件,然后也基本是misc和crypto题。分享给需要的朋友,如果有人能写出writeup的话,那就...
JavaEE面试题
wudinaniya的博客
07-27 3795
一.基础知识:1)集合类:List和Set比较,各自的子类比较(ArrayList,Vector,LinkedList;HashSet,TreeSet);ArrayList,LinkedList,Vector都属于ListList:元素是有顺序的,元素可以重复因为每个元素有自己的角标(索引) |-- ArrayList:底层的数据结构是数组结构,特点是:查询很快,增 删 稍微慢点,线程不同步
300分钟吃透分布式缓存-02讲:如何根据业务来选择缓存模式和组件?
u013699308的博客
02-18 1139
在部分数据变更后,直接删除缓存。这种模式的特点是,业务端处理所有数据访问细节,同时利用 Lazy 计算的思想,更新 DB 后,直接删除 cache 并通过 DB 更新,确保数据以 DB 结果为准,则可以大幅降低 cache 和 DB 中数据不一致的概率。
端口详解
yangzhao0001的博客
08-26 8454
1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开选择器    2 compressnet Management Utility     compressnet 管理实用程序    3 compressnet Compression Process    压缩进程    5 rje Remote Job Entry          远程
gulp压缩整合css和js文件
qq_45379295的博客
01-10 835
gulp压缩整合css和js文件 原创 ...
ctfshow爆破
遇事不决冲冲冲
08-19 3016
web21 登陆抓包 发现账号密码被加密,这里先解密 发现中间用一个冒号隔开了,发到Intruder模块进行爆破 利用题目所给的字典(重命名为.zip,再解压出来),在Payload1后添加:后缀,对Payload1、2进行base64加密 Payload set 1 Payload set 2 因为这样跑需要跑太多次了,这里已经知道账号就是admin了,直接对密码进行爆破。 发送到重放模块得到flag web22 web23 web24 web25 web26 web27 web28 ...
(保姆级解析)ctfshow——20道vip题目解析
qq_74426248的博客
08-16 536
【CDN穿透没有做出来】文章是本人的详细做题过程,里面包含踩坑,欢迎各位师傅一起讨论交流。希望做出来【CDN穿透】的师傅,可以私我一份题解(doge),万分感谢。
ctfshow(vip题)
Aurora_lili的博客
04-07 877
Cookie就是由服务器发给客户端的特殊信息,这些信息中会包含客户端的身份信息,客户端在收到这些信息后会以文本文件的方式保存在客户端,之后客户端每次向服务器发送请求的时候都会在Cookie Header中带上这些信息。是由于运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。svn1.6及以前版本会在项目的每个文件夹下都生成一个.svn文件夹,里面包含了所有文件的备份,文件名为 .svn/text-base/文件名.svn-base。
ctf.show算力超群
08-15
你好!对于ctf.show的算力表现超群,我了解的有ctf.show是一个CTF竞赛平台,为参赛者提供了丰富的题目和挑战,需要进行漏洞利用、密码破解、逆向工程等各种技术方面的攻防对抗。算力在CTF比赛中往往是非常重要的,因为一些题目需要进行高强度的计算或者复杂的加密解密操作。如果ctf.show能够提供出色的算力支持,那么参赛者在解决问题时会更加得心应手,也能够更好地展现自己的技术实力。不过具体ctf.show的算力超群的细节和技术实现,我并不清楚。如果你对这方面有更具体的问题,我会尽力回答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值