i春秋 第二届春秋欢乐赛 Hello World

最新推荐文章于 2021-08-31 19:21:00 发布
最新推荐文章于 2021-08-31 19:21:00 发布
阅读量294 收藏 1
点赞数
分类专栏: CTF 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/witwitwiter/article/details/116503260
版权
"本文介绍了在安全竞赛中通过dirmap扫描发现git源码泄露,使用Git_Extract工具下载文件,并对比两个flag.js找出不同,最终得出flag{82efc37f1cd5d4636ea7cadcd5a814a2}
摘要由CSDN通过智能技术生成

i春秋 第二届春秋欢乐赛 Hello World

先使用dirmap扫描

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-COB3E9om-1620394397410)(D:\xa\CTF\image-20210507195027780.png)]

扫描结果如下[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-TIpkibkj-1620394397412)(D:\xa\CTF\image-20210507195510958.png)]

发现git源码泄露,故使用Git_Extract-master将泄露的文件下载下来

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qGc7812B-1620394397416)(D:\xa\CTF\image-20210507212828109.png)]

发现两个flag.js文件,将其放在一起对比

在kali中使用diff 命令进行对比

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qMb3yfGf-1620394397418)(D:\xa\CTF\image-20210507204658746.png)]

字符选取的规则:

1.不同的字符按下面的(比如第一个o和f,就选择下面的f)

2.两行中多出的字符(比如第三处不同,第一个append比下面的ppend多一个a,就选择a)

得到的flag为

flag{82efc37f1cd5d4636ea7cadcd5a814a2}

总结

先用dirmap扫描,得到是git泄露之后使用Git_Extract-master将文件下载下来进行分析,对比两个不同的flag.js得出flag。

suqerbrave
关注
专栏目录
从零学Java(3)之第一个实例HelloWorld
编程界明世隐的博客
07-02 1万+
引言: ♀ 小AD:小明哥,我jdk和eclipse都安装好了,不知道干啥用?你这也不行啊,我刚玩王者的时候,有新手训练营的,我很容易就知道改怎么玩了。 ♂ 明世隐:别急啊,就跟你着急送人头似的,你说你一个小鲁班,闪现到凯爹脸上干嘛? ♀ 小AD:明哥你太过分了,在这样我跑路了哈,人家诚心学习来的。 ♂ 明世隐:你看你还说诚心来的,一说你就说要跑路。 ♀ 小AD:你太伤我自尊了 ♂ 明世隐:没事哈,哥我说这玩,你有不是打野,我只跟打野过不去。 ♀ 小AD:那你说怎么办?我这人做事也是急性子,对面打野敢杀我
i春秋第二届春秋欢乐 classical writeup
hanjinrui15的博客
10-05 1221
i春秋第二届春秋欢乐 classical writeup 第一步:题目给出的提示 根据题目我们可以了解这道题应该是一个古典密码的题目,但是古典密码太多了我们如何知道是什么? 看题目给出的附件是一个很长很长的乱序字符串,我们可以想到用词频分析一下: 发现里面有一段不一样的信息:LyjtL3fvnSRlo2xvKIjrK2ximSHkJ3ZhJ2Hto3x9 像是base64解码能够做出来,但是发现...
i春秋 第二届春秋欢乐 Web-Hello World
qq_34106499的博客
01-20 1267
1. git源码泄露问题 2. 了解git源码泄露的原理及其漏洞利用 3. 待进一步掌握。。。
i 春秋 第二届春秋欢乐 web HelloWorld (.git源码泄露问题)
Zeker62的博客
08-31 380
这个靶场拿到手上只有一个helloworld 通过源码发现,存在一个flag.xmas.js文件 但是我们访问这个文件是失败的,那尝试flag.js文件 发现成功访问,但是通过坎坷的阅读发现并没有什么有用的信息: 除了比心一无所有 那既然找不到什么有用的信息,使用扫描工具尝试进行扫描 发现大量git文件 那么这题考的就是git源码泄露问题 使用GitHacker进行扫描: 发现三个文件,其中有个...
【i春秋 第二届春秋欢乐 】WEB Hello World
weixin_45844670的博客
08-16 398
【dirmap】 dirmap原作者链接 dirmap知乎链接 GitHub地址 【Git Extract】 GitHub地址 先用dirmap扫描网站 python dirmap.py -i http://106.75.72.168:9999/ -lcf 得到: 看到 .git想到存在源码泄露漏洞 【git泄露】 漏洞原因:在运行git init 初始化代码库时,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等。在发布代码得时候,没有吧.git这个目录删除,导致可以使用这个文件来
i春秋Hello World
weixin_30701575的博客
09-16 635
打开只有一句hello world,直接查看源码,发现一个flag.xmas.js文件 试试直接访问http://106.75.72.168:9999/flag.xmas.js http://106.75.72.168:9999/flag.xmas 访问不了 再试试http://106.75.72.168:9999/flag.js发现下载下来这个js文件了 ...
CTF-(i春秋 春秋欢乐杯 web hello world
weixin_44089266的博客
04-11 2755
题目传送门challge 打开网站发现只显示了Hello word,打开开发者工具,network模块,发现有一个404 考虑是否有flag.js文件,输入查询后,发现 由于代码过长,考虑换种思路,经查阅,此种可能git源码泄露,一般会有 ./git/config文件,尝试访问,确实存在. 然后在kali上安装Git_Extract工具,用来下载该站源码。安装Git_Extract过程如下 g...
WP 4 i春秋_2017年春秋欢乐
segOt
04-20 4539
时间 象棋 时间 多线程、爆破 这道题目给出如下源码<?php header("content-type:text/html;charset=utf-8"); '天下武功唯快不破'; setcookie('token','hello'); show_source(__FILE__); if ($_COOKIE['token']=='hello'){ $txt = file_get_cont
i春秋 第二届春秋欢乐 Misc 题目名称:CryMisc
z2bns的博客
01-18 3104
i春秋 第二届春秋欢乐 分值:300分 类型:Misc题目名称:CryMisc 题目内容:Download   下载链接: http://static2.ichunqiu.com/icq/resources/fileupload/CTF/icqhappyctf/CryMisc_E1C844B98C4CAC14060994BD1933AF9F.zip   审题发现题目只给了一个下载链...
i春秋 第二届春秋欢乐 ReCreators
SPS98
11-08 1061
一道有点坑的杂项题.
i春秋第二届春秋欢乐RSA256writeup
hanjinrui15的博客
10-03 651
i春秋第二届春秋欢乐RSA256writeup 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它...
i春秋第二届春秋欢乐登山者writeup
iqiqiya的博客
06-26 3524
转自Flying_Fatty大佬博客  写的很详细  本来想自己再写的https://blog.csdn.net/kevin66654/article/details/70493566这个题的Hint:求二维矩阵左上往下走,可以向下,也可以向右下的最大值(打过ACM的话,就知道是dp的数字三角形模型题)IDA里静态分析,发现程序逻辑比较简单,先有一个init的初始化函数,然后就是对我们的输入进行c...
i春秋第二届春秋欢乐 RSA writeup
hanjinrui15的博客
10-05 453
i春秋第二届春秋欢乐 RSA writeup 第一步:审题 n is 96680893262749719063585923605496034909946397522735056426538437328033669985338725407066288126593756516300075860615430875794403057183717504851457447306140156633083633...
i春秋 Web Hello World
cc菜的一批
12-28 958
题目名称:Hello World 类型:Web 难度:★★★☆☆ 题目地址:链接 解题方法如下: 打开网站,F12看HTML信息。 打开这个文件,却显示404不存在,那么猜测可能存在git源码泄露。Python工具跑一下。 果然存在git源码泄露,使用Git_Extract 工具,下载出源码。 我们发现有俩个flag.js 文件。 使用beyond compare工具,对比俩个文本。 点...
i春秋第二届春秋欢乐CryMisc题目WriteUp
iqiqiya的博客
04-24 4449
CryMisc__writeup把CryMisc.zip解密后得到crypto.zip和jiami.py,crypto.zip是被加密过的,而jiami.py则是加密脚本,  其中密码是随机的15位字符的md5值,基本不可能爆破,而这里是使用本身这个jiami.py和gogogo.zip一起加密成crypto.zip,这里就存在着zip的明文攻击,用winrar(不能用7zip或者好压)把...
Qsort(Hello World!)
NotPerfect-EOF
04-13 935
Hello World! Time Limit: 1000MS Memory limit: 65536K 题目描述 We know that Ivan gives Saya three problems to solve (Problem F), and this is the first problem. “We need a programmer to he
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值