web1
F12打开源码发现flag
web2
右键和F12被拦截,无法查看源码,但是但是ctrl+u一样可以直接查看源码,也可以更改协议,打开开发者工具
web3
f12啥都没有发现,抓个包试试
找到flag
web4
根据提示打开robots.txt
继续根据提示打开所给文件拿到flag
web5
题目提示是phps源码泄露,访问index.phps下载源码,发现flag
web6
根据提示访问下载常见源码包,打开得到下一个提示
访问得到flag
web7
题目提示版本控制,想到git(版本控制工具)访问git版本控制工具的默认文件
.git得到flag
web8
访问.git什么也没,想到另一款版本控制工具svn,访问得到flag
web9
题目提示vim死机,vim的半成品文件泄露,访问index.php.swp 打开得到flag
web10
题目提示查看cookie,得到flag
web11
根据域名收集信息,群主推荐dbcha.com
web12
题目提示登录管理员账户,老套路admin找到后台,再根据提示猜密码
猜密码吧,还不如爆破
web13
打开网站根据提示发现有文件可以下载
啊这
登录拿到flag
web14
根据提示找到编辑器路径,
默认配置害死人, 编辑器直接暴露了文件路径,访问拿到flag
web15
题目提示是邮箱泄漏,拿到邮箱以为是要爆破,半天没成,看了群主大大的wp,没想到是社工!!!
/admin/到后台
有一个密保问题,通过简单社工拿到答案,登陆拿到flag
web16
打开默认探 针 tz.php寻找可用信息
发现可以打开phpinfo,打开发现flag
web17
根据题意访问backup.sql文件打开拿到flag
web18
查看源代码打开js文件,发现有一段unicode,解码提示我们访问110.php
访问拿到flag
web19
提示我们查看前段代码,发现密码是一个aes,而且信息都漏了,在线解密拿到密码
后来看群主的wp发现直接可以绕过js,hackerbar发送post直接拿到flag
web20
aceess数据库,,,,根本不会,群主牛xxx,访问默认目录db/db.mdb并下载后打开我直接ctrl f拿到flag了
信息泄漏思路总结
1 ctrl u 前段信息泄漏
2 phps文件导致源码泄漏
3 vim非正常退出swp文件导致信息泄漏
4 版本控制工具git,svn默认文件没有清理导致信息泄漏
5 robot协议泄露敏感目录
6 前段js信息泄漏,前段js可绕过
7 access数据库默认文件目录泄漏信息
8 网站发布不及时更改默认配置导致防护薄弱
9 编辑器泄漏服务器文件系统
目录