CTFSHOW刷题之旅--信息收集

  • 本人自己的学习记录,会有错误的地方,尽情谅解,欢迎指出错误和不解的地方,让我们共同进步!

web1

在这里插入图片描述

在这里插入图片描述
看到页面没有它提示,首先想到右键查看页面源码
在这里插入图片描述

web2

在这里插入图片描述

在这里插入图片描述
页面提示无法查看源代码,我们发现无法右键,应该是拦截了js
那么可以新建一个网页点击F12,在输入靶场的url进行访问,这样的话就可以看到代码了
在这里插入图片描述
也可以使用浏览器自带的view-source:来查看
在这里插入图片描述

web3

在这里插入图片描述

在这里插入图片描述
这道题没有明显的提示
凡事不行抓个包看看是怎么回事,我们拦截进行抓包,发现flag在相应包中
在这里插入图片描述

web4

在这里插入图片描述

在这里插入图片描述
根据题目提示我们访问robots.txt看看究竟是怎么回事,发现了一个flagishere.txt
在这里插入图片描述
我们打开flagishere.txt,得到了flag
在这里插入图片描述

web5

在这里插入图片描述

  • 什么是phps文件?

phps文件类型主要由php组与php源关联。通常,php文件将由web服务器和php可执行文件解释,您将永远看不到php文件背后的代码。如果将文件扩展名设为.phps,配置正确的服务器将输出源代码的彩色格式版本,而不是通常生成的HTML。并非所有服务器都是这样配置的。

我们访问phps就可以查看到php没有被解析的代码
在这里插入图片描述
在这里插入图片描述

web6

在这里插入图片描述
扫描目录发现www.zip文件,通过经验知道此文件是一个源码文件
在这里插入图片描述
访问www.zip目录得到源码
在这里插入图片描述
打开fl000g.txt
在这里插入图片描述

web7

在这里插入图片描述

  • .git(多人协作版本控制系统)文件夹包含项目在版本控制中所需的所有信息以及有关提交,远程存储库地址等的所有信息.所有这些信息都存在于此文件夹中.它还包含一个存储您的提交历史记录的日志,以便您可以回滚到历史记录.
  • 以“.”开头的文件在linxu下属于隐藏文件,在终端操作的时候可能会由于忽略了这个文件,错误地将其部署到网站的根目录上造成网站信息的泄露。

扫描目录发现是.git泄露
在这里插入图片描述
访问.git目录
在这里插入图片描述

web8

在这里插入图片描述
扫描目录,发现.svn泄露
在这里插入图片描述
在这里插入图片描述

web9

在这里插入图片描述

  • swp文件介绍
    vim中的swp即swap文件,在编辑文件时产生,它是隐藏文件。这个文件是一个临时交换文件,用来备份缓冲区中的内容。如果原文件名是data,那么swp文件名就是.data.swp。如果文件正常退出,则此文件自动删除。需要注意的是如果你并没有对文件进行修改,而只是读取文件,是不会产生swp文件的。

根据题目提示我们只需要在url后面加index.php.swp即可
在这里插入图片描述

在这里插入图片描述

web10

在这里插入图片描述

和cookie有关,抓包看一下怎么回事,发现cookie字段直接把flag显示出来了
在这里插入图片描述

web11

在这里插入图片描述
dns记录查询

在这里插入图片描述

web12

在这里插入图片描述
在这里插入图片描述

先访问robots.txt页面发现admin目录
在这里插入图片描述
访问admin目录,我们把页面上像密码的都是一遍,最后发现这个号码是管理员密码
在这里插入图片描述
admin/372619038
在这里插入图片描述

web13

在这里插入图片描述
根据文档提示我们找到了该地方,泄露了后台信息

在这里插入图片描述
泄露了后台地址,账号密码
在这里插入图片描述
得到flag
在这里插入图片描述

web14

在这里插入图片描述
由题意可知,在域名后面加上editor进入编辑器,然后点开图片上传的图片空间
在这里插入图片描述
找到文件在/var/www/html/nothinghere/fl000g.txt
所以我们直接访问/nothinghere/fl000g.txt
在这里插入图片描述

web15

在这里插入图片描述
我们在网站底部发现了个邮箱
在这里插入图片描述
并且找到了后台地址/admin,在忘记密码功能处有个密保
在这里插入图片描述
在这里插入图片描述
我们通过查看qq号,查看所在地是西安
在这里插入图片描述
输入西安,密码成功重置
在这里插入图片描述
进行登录得到flag
在这里插入图片描述

web16

在这里插入图片描述

  • php探针是用来探测空间、服务器运行状况和PHP信息用的,探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。

因此我们访问tz.php,找到phpinfo,点击进入
在这里插入图片描述
在phpinfo中找到了flag
在这里插入图片描述

web17

在这里插入图片描述
根据题目提示我们进行目录扫描扫到一个backup.sql文件
访问backup.sql,自动下载sql备份文件,在文件里找到flag
在这里插入图片描述

web18

在这里插入图片描述
表面上是一个游戏,但是我们看js发现Flappy_js.js
在这里插入图片描述
在js中发现提示
在这里插入图片描述
我们在控制台进行输出看一下什么意思
在这里插入图片描述
根据提示访问110.php
在这里插入图片描述

web19

在这里插入图片描述
根据js内容进行构造数据包

username=admin&pazzword=a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04

在这里插入图片描述

web20

在这里插入图片描述
在这里插入图片描述
根据题目提示我们直接访问/db/db.mdb
在这里插入图片描述
用记事本打开搜索ctfshow
在这里插入图片描述

总结

这些题只是作为信息收集的一部分,要是想学好信息收集还是要多看一些文章和实际进行操作

  • 22
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值