ctfshow-web-信息收集

已于 2024-03-10 01:19:36 修改
阅读量104 收藏
点赞数 2
分类专栏: CTF-WEB 文章标签: 网络安全
于 2024-02-19 11:24:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xunyue88/article/details/136161136
版权
本文概述了从基本的浏览器开发者工具(F12)到高级的安全实践,如源码查看、版本控制泄露、编辑器安全、DNS信息、cookie保护、php探针利用以及加密技术的破解方法。揭示了在Web开发过程中需要注意的各种安全风险点。
摘要由CSDN通过智能技术生成

  1. web1(F12)

  2. web2(关闭浏览器js、view-source+url、ctrl+u)

  3. web3(看不见源码就F12-network、抓包)

  4. web4(robots.txt信息泄露)

  5. web5(phps源码泄露

  6. web6(www源码b、.rar .zip .7z .tar.gz .bak .swp .txt)

  7. web7(版本控制原源码泄露、.git)

  8. web8 (版本控制原源码泄露、.svn)

  9. web9(vim缓存泄露、第一次意外退出生成的是.swp、第二次.swo、第三次.swn)

  10. web10 (cookie信息

  11. web11(dns的txt信息,用nslookup)

  12. web12(网页信息收集,记得有个工具会分析网页的邮箱、生日、名字来生成一个字典并爆破)

  13. web13(将默认说明文档落在主页上了,然后还没有改默认用户和密码[😓]其实挺多开发测试的服务通过默认口令可以爆破登进去,之后慢慢自己总结吧)

  14. web14
    好吧,应该是一个方便前端开发内置的编辑器editor
    不看wp没见过的话真的想不到。
    其实在看见上传文件的选项就要引起高度重视,后面还有个文件空间,将文件目录一览无余,找到var的www文件中有一个敏感文件。

  15. web15
    找到admin的后台登录地址,用户名或者密码错误都有不同的提示。
    确认admin是用户,然后点击忘记密码,问题是哪个城市,用QQ搜索好友就是邮箱的账户,显示陕西西安,回答之后就会重置密码。
    就是考察敏感信息的敏感度。

  16. web16(copy WP)
    php探针是用来探测空间、服务器运行状况和PHP信息用的,探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息
    根据提示用到php探针知识点
    输入默认探针tz.php
    打开后点击phpinfo就可以查看到flag

  17. web17
    用dirsearch,扫出有个sql的bcp,数据库备份文件。

  18. web18
    js小游戏,赢了就给信息,打开js源文件看看在if中得到\u的编码,然后转码得到110.php

  19. web19
    AES加密,emmmmm参数什么的都在js里面看得见

Xunyue88
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ctfshow web入门 信息搜集
ccfly1012的博客
08-11 619
目录 web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20 web1 右键直接查看源代码就好 web2 js绕过 f12查看源代码被禁用了,右键也不行 查看源代码还有方式就是ctrl+u;view:source;点击工具更多工具,开发者工具 web3 直接开发者工具查看包的http协
CTFshow-web入门-信息搜集
qq_63575829的博客
04-18 127
CTFshow-web入门-信息搜集
CTFSHOW WEB 01 - WEB 20 信息搜集篇 详解
qq_49399033的博客
02-22 1822
域名解析记录,也称为 DNS 记录,是保存在 DNS 服务器上的信息。它们将人类可读的网址(例如,[www.example.com)映射到机器可读的IP 地址(例如,192.0.2.1)。这是因为计算机和其他设备使用 IP 地址在互联网上找到和交流。A 记录:这是最常见的 DNS 记录类型,用于将域名映射到一个 IPv4 地址。AAAA 记录:这是 A 记录的 IPv6 版本,将域名映射到一个 IPv6 地址。CNAME 记录。
最新CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web,2024年最新看这篇文章就行了
最新发布
2401_84264244的博客
05-13 950
index.phps。
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
2401_84252281的博客
04-26 751
任务环境说明:服务器场景:Server1。
CTFshow web入门之信息收集web1-web20)
小白的博客
05-10 682
得到一个IP地址或网址时第一步:查看源码第二步:网页上查找是否有有效信息第三步:查看是否存在说明文件rotobs.txt第四步:通过御剑或dirsearch扫描探测是否存在其它页面第五步:按照网页的框架信息查看是否存在测试文件或备份文件。
CTFshow web入门——信息搜集
小元砸的博客
01-12 3969
web 1 题目:开发注释未及时删除 解题思路:ctrl+u查看源码即可得到flag web 2 题目:js前台拦截 === 无效操作 解题思路:打开可以看到 “无法查看源代码”的字样 但依然可以用ctrl+u的方法查看源码,即可得到flag web 3 题目:没思路的时候抓个包看看,可能会有意外收获 解题思路:F12查看一下响应头即可得到flag web 4 题目:总有人把后台地址写入robots,帮黑阔大佬们引路 解题思路:根据提示访问/robots.txt,会出现:"User-agent: * Di
ctfshow-VIP题目-Web-详细解题思路
01-27
本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制泄露、vim临时文件泄露、cookie泄露、...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这篇Writeup主要涉及的是CTF(Capture The Flag)挑战中的Web安全领域,特别是URL解析漏洞的利用。CTF是一项网络安全竞赛,参与者通过解谜、破解密码等方式获取“国旗”(Flag),在这里指的是挑战的答案或关键信息...
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
【ctfshow—web】——信息搜集篇1(web1~20详解)
练习时长两年半的CTF爱好者
02-22 2263
此题为 【从0开始学web】系列第二十题 此系列题目从最基础开始,题目遵循循序渐进的原则 希望对学习CTF WEB的同学有所帮助。
ctf-show WEB板块(持续更新)
wobushilijiatu的博客
12-14 274
使用 php://input:可以访问请求的原始数据的只读流,将post请求的数据当作php代码执行,当传入的参数作为文件名打开时,可以将参数设为php://input,同时post写入想要执行的php代码,php执行时会将post内容当作文件内容,从而导致任意代码执行。发现 include 函数 想到 文件包含 GET方式 传入一个url尝试 文件包含 肯定是需要 伪协议了。先试试万能密码 能登录 进去 存在sql注入漏洞。得到了一个文件在 看这个文件 得到flag。发现flag 获取列名。
ctfshow信息收集(web1-web20)
m0_72125469的博客
01-20 1148
ctfshow web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20
ctfshow web 1-20 信息收集合集
Z052308的博客
03-10 266
此篇完,本篇仅作个人学习,如有错误望指正,涉及部分参考其他作者未来得及表明出处望见谅。1.右键查看源代码,或者view-source:URL。本题题解类web7,另一个版本控制URL+.svn。本题与web7、web8类题,具体原理见下图。本题涉及php源码泄露.index.phps。本题只能view-source:url。:条件socre>100,具体见下图。本题源码:URL+WWW.ZIP。抓包发现flag隐藏在里面。注意提交密码下抓包才能成功。题解:URL+/.GIT。本题有域名查询工具即可。
2024年最新ctfshow-WEB-web10( with rollup注入绕过)_ctf(2)
2401_84267585的博客
05-03 629
ctf.show WEB模块第10关是一个SQL注入漏洞, 点击取消按钮可以获取源码, 审计代码可以发现源码中存在漏洞, 推荐使用with rollup注入进行绕过, 此关卡过滤了空格,and等关键字进来以后是一个登录界面, 盲猜是SQL注入漏洞点击取消按钮可以获取这一关的源码, 下载到本地即可源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我们绕过用户名的过滤条件, 在使用 with rollup注入绕过密码。
ctfshow-萌新-web10( 利用命令执行漏洞获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-10 1万+
ctf.show萌新模块 web10关,这一关考察的是命令执行漏洞的利用,闯关者需要知道3个以上PHP命令执行函数的使用,推荐使用passthru() 页面中展示了部分源码,并提示我们 flag 在 config.php 文件中 源码中过滤了 system,exec,highlight 这三个常用的PHP命令执行函数,绕过过滤条件就可以使用 eval() 函数执行PHP代码了,我们使用其他的命令执行函数即可,这里使用passthru()函数即可,先查看一下当前目录 ?...
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值