ctfshow【从0开始学web】系列1-20 信息搜集

最新推荐文章于 2024-02-22 23:01:47 发布
最新推荐文章于 2024-02-22 23:01:47 发布
阅读量524 收藏 13
点赞数 4
分类专栏: CTF系列问题 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzl_007/article/details/120627035
版权

【从0开始学web】系列1-20 信息搜集

web1

在这里插入图片描述

web2

把f12和右键禁用了

ctrl + u 查看

在这里插入图片描述

web3

没思路的时候抓个包看看,可能会有意外收获

f12 ,在响应头中找到flag

在这里插入图片描述

web4

总有人把后台地址写入robots,帮黑阔大佬们引路。

访问robots.txt

在这里插入图片描述

再访问这个文件即可

在这里插入图片描述

web5

phps源码泄露有时候能帮上忙

在这里插入图片描述

phps源码泄露一般就是index.phps,访问下载,打开里面就有flag

web6

解压源码到当前目录,测试正常,收工

题目说解压 ,这里就猜测是zip,一般会命名为www.zip

在这里插入图片描述

下载出来后解压,拿到flag

在这里插入图片描述

开始以为是这样,头铁直接交,不对,网页上访问fl000g.txt

在这里插入图片描述

web7

版本控制很重要,但不要部署到生产环境更重要。

git泄露

在这里插入图片描述

web8

版本控制很重要,但不要部署到生产环境更重要。

.svn泄露

在这里插入图片描述

web9

发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了

在这里插入图片描述

flag就在其中

web10

cookie 只是一块饼干,不能存放任何隐私数据

在这里插入图片描述

Set-Cookie
ctfshow{76ffa69a-5755-4b6f-90fc-bc7a5ac6c2a6}

%7B = {

%7D = }

web11

域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息

通过dns检查查询flag https://zijian.aliyun.com/ TXT 记录,一般指为某个主机名或域名设置的说明。

或者http://dbcha.com/

在这里插入图片描述

flag{just_seesee}

web12

有时候网站上的公开信息,就是管理员常用密码

在页面下边有提示

在这里插入图片描述

访问/admin/

输入admin / 372619038 登陆即可

在这里插入图片描述

web13

技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码

源码中找到有给pdf文件,下载下来拿到后台地址和登陆用户密码

在这里插入图片描述

在这里插入图片描述

登陆拿到flag

在这里插入图片描述

web14

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

有的站点可能存在editor这类文本编辑器

http://70bd7a15-d6a4-4505-9304-f4f5358dab82.challenge.ctf.show:8080/editor/

访问打开

在这里插入图片描述

查看一下版本号

在这里插入图片描述

本来是想利用文件上传,结果发现可以直接打开访问文件

在这里插入图片描述

找到地址访问即可

在这里插入图片描述

web15

公开的信息比如邮箱,可能造成信息泄露,产生严重后果

访问/admin/ ,找到后台,忘记密码,有个密保问题

在这里插入图片描述

开始那个页面有个qq邮箱,这也和题目的提示相匹配 1156631961@qq.com

在这里插入图片描述

qq搜索一下,西安的

在这里插入图片描述

然后拿到重置的密码,登陆拿到flag

web16

对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露

php探针是用来探测空间、服务器运行状况和PHP信息用的,探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。是一个查看服务器信息的工具。
比如查看服务器支持什么,不支持什么,空间速度等等状况!

常见的PHP探针页面大概有这些:l.php、p.php、tanzhen.php、tz.php和u.php等。

参考:https://ego00.blog.csdn.net/article/details/112853256

在这里插入图片描述

找到phpinfo,点击就进去了,找到flag

web17

在这里插入图片描述

ping 一下,一般设置了DNS的就会将ip也显示出来

在这里插入图片描述

也可以在这个网站查询https://ipchaxun.com/

web18

不要着急,休息,休息一会儿,玩101分给你flag

一般这种网页的js里面有对应的编码,查看一下源码

如果score > 100 输出这个,很明显了

在这里插入图片描述

unicode中文互转

在这里插入图片描述

访问110.php

web19

密钥什么的,就不要放在前端了

源码中找到密钥

在这里插入图片描述

post提交

在这里插入图片描述

web20

mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。

访问下载之

在这里插入图片描述

打开找到flag就行了在这里插入图片描述

此部分为ctfshow WEB入门 信息搜集 1-20

yyyyzzzllll
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-web入门-信息搜集
qq_63575829的博客
04-18 121
CTFshow-web入门-信息搜集
CTFSHOW-信息收集
Monica的博客
08-06 513
目录​​​​​​​ WEB1 WEB2 WEB3 WEB4 WEB5 WEB6 WEB7 WEB8 WEB9 WEB10 WEB11 WEB12 WEB13 WEB14 WEB15 WEB16 WEB17 WEB18 WEB19 WEB20 WEB1 考点:开发注释未及时删除 方法:查看网页源代码 WEB2 考点:js前台拦截 (无效操作)右键无法使用 知识点:view-source是一种协议,早期基本上每个浏览器都支持这个协议。后来Microso..
ctfshow-信息收集
m0_72898152的博客
02-22 1072
ctfshow,信息收集
CTFWEB·通过CTFshow的例题来信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 1977
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习!
常见Web源码泄露总结
weixin_50464560的博客
03-20 828
本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现。 一、源码泄漏分类 0x00 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.example.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.example.com...
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow-VIP题目-Web-详细解题思路
01-27
协议头信息泄露:根据题目提示,使用浏览器自带的开发者工具查看响应头,看到flag,flag:ctfshow{967b5eb6-da34-49e5-85cd-0cec4bb26922}。 robots后台泄露:根据题目提示,访问robots.txt,看到flag文件的路径,...
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
WP1-ctfshow
最新发布
02-24
1
ctfshow web223-group盲注无数字
10-21
ctfshow web223-group盲注无数字
CTF之web习记录 -- 网站信息搜集
lifanxin的博客
07-06 633
网站信息搜集概述GitHackDirSearch总结 概述   我个人自web已经有了一段时间了,但总感觉少了些什么,从做题角度上来讲,遇到的web题要么是直接给了源码需要审计的,要么是会给足够的提示,让你知道是考察注入还是文件上传等。那么如果不给源码,不给提示呢,我们面对一个功能众多的网站该如何下手?此时就需要这一章的内容,我愿称其为web习中灵魂的章节。   接下来我将根据做题的积累,介绍下ctf中常用的一些信息搜集思路和工具。 GitHack   GitHack   现在的开发人员使用git进行版
ctfshow信息收集Web18(玩游戏)
m0_62584974的博客
04-07 3741
不要着急,休息,休息一会儿,玩101分给你flag 点进去是一个游戏 查看游戏的js代码 查看js代码 查看通过游戏后会展示的内容是一个Unicode编码的 查看 110.php 得到Flag
web入门——ctfshow(3-20)(信息搜集
weixin_73668856的博客
11-25 421
水水
ctfshow web入门 信息收集 1-20
m0_64815693的博客
04-04 1195
ctfshow web入门 信息收集 1-20
CTFshow 信息搜集web1-web20
Jay17的博客
05-01 255
CTFshow 信息搜集web1-web20
【ctfshow—web】——信息搜集篇1(web1~20详解)
练习时长两年半的CTF爱好者
02-22 1983
此题为 【从0开始web系列第二十题 此系列题目从最基础开始,题目遵循循序渐进的原则 希望对习CTF WEB的同有所帮助。
ctfshow_信息收集
qq_45951598的博客
02-07 528
文章目录WEB1WEB2WEB3WEB4WEB5WEB6WEB7WEB8WEB9WEB10WEB11WEB12WEB13web14WEB15WEB16_探针WEB17_IPWEB18_查看js代码WEB19_前台js绕过WEB20 WEB1 F12查看源代码 WEB2 禁用javascript WEB3 用burp抓包 WEB4 访问robots.txt WEB5 phps文件泄露,访问index.phps WEB6 www.zip文件泄露,访问得flag WEB7 .git泄露,访问.git WEB8 .
ctfshow web入门 writeup 1-20(信息收集)
qq_44893894的博客
10-31 1238
信息收集系列 web1 题目:开发注释未及时删除 根据题目意思查看网页源代码,发现flag web2 题目:js前台拦截 === 无效操作 打开页面->无法显示源代码->根据题目因为js前台拦截,右键,以及F12均无法查看源码 在url前加上view-source:,或者设置浏览器禁止JavaScript(我在chrome的设置中搜索JavaScript找到了,Firefox没找到),即可查看源码并得到flag web3 题目:没思路的时候抓个包看看,可能会有意外收获 根据题目提示用burpsu
ctfshow 信息搜集web入门)
..
11-28 470
信息搜集
ctfshow-web-web红包题
07-14
### 回答1: ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,我们注意到了一个提交订单的功能,并且发现了其中一个参数可以被用户任意修改。这可能导致一个被称为SQL注入的漏洞。 我们试图通过在参数中插入恶意代码来进行SQL注入攻击。我们发现当我们输入`' or 1=1 -- `时,查询结果会返回所有订单记录,而不仅仅是当前用户的订单。这表明成功利用了SQL注入漏洞。 接下来,我们要尝试进一步利用这个漏洞来获取网站的红包。我们可以通过构建特制的SQL语句来绕过登录过程,直接获取红包的信息。 最终,我们成功地利用了网站存在的漏洞,获取到了红包的相关信息。这个过程展示了在网络安全竞赛中,如何通过分析代码和利用漏洞来实现攻击的目标。 在这个过程中,我们需要具备对SQL注入漏洞的理解和掌握,并且需要有一定的编程和网络安全知识。通过解决这样的题目,我们可以提高我们对网络安全攻防的认识和技能,以更好地保护网络安全。 ### 回答2: ctfshow-web-web红包题是一个CTF(Capture the Flag)比赛中的Web题目,目标是通过分析Web应用程序的漏洞来获取红包。CTF比赛是一种网络安全竞赛,在这种比赛中,参赛者需要通过解决各种不同类型的安全挑战来积分。 该题目中的Web应用程序可能存在一些漏洞,我们需要通过分析源代码、网络请求和服务器响应等信息来找到红包的位置和获取红包的方法。 首先,我们可以查看网页源代码,寻找可能的注入点、敏感信息或其他漏洞。同时,我们还可以使用开发者工具中的网络分析功能来查看浏览器和服务器之间的通信内容,找到可能存在的漏洞、密钥或其他敏感信息。 其次,我们可以进行输入测试,尝试不同的输入来检查是否存在注入漏洞、文件包含漏洞、路径遍历漏洞等。通过测试和观察响应结果,我们可以得到一些重要的信息和线索。 最后,我们可以分析服务器响应和错误信息,查找可能存在的网站配置错误、逻辑漏洞或其它任何可以利用的安全问题。此外,我们还可以使用常见的Web漏洞扫描工具,如Burp Suite、OWASP ZAP等,来辅助我们发现潜在的漏洞。 通过以上的分析和测试,我们有可能找到获取红包的方法。然而,具体的解题方法还需要根据题目中的具体情况来确定。在CTF比赛中,每个题目的设置都可能不同,解题的方法和思路也会有所差异。因此,在解题过程中,要保持敏锐的观察力和灵活的思维,尝试不同的方法和技巧,才能成功获取红包并完成任务。 ### 回答3: ctfshow-web-web红包题是一个CTF比赛中的网络题目,其目标是寻找并利用网页内的漏洞,获取红包。 首先,我们需要分析该网页的源代码,寻找可能存在的漏洞。可以通过审查元素、浏览器开发者工具等方式进行源代码分析。 其中,可能存在的漏洞包括但不限于: 1. 文件路径遍历漏洞:通过对URL的参数进行修改,尝试访问其他目录中的文件。 2. XSS漏洞:通过在用户输入的地方注入恶意代码,实现攻击者想要的操作。 3. SQL注入漏洞:通过修改数据库查询参数,获取未授权的数据。 4. 文件上传漏洞:上传恶意文件并执行。 一旦发现漏洞,我们需要进一步利用它们来获取红包。例如,如果存在文件路径遍历漏洞,我们可以尝试通过修改URL参数的方式,访问网站服务器上存放红包的文件目录,获取目录中的文件。 如果存在XSS漏洞,我们可以尝试在用户输入的地方注入一段JavaScript代码,以获取网页中的敏感信息或执行一些恶意操作,如窃取cookies。 如果存在SQL注入漏洞,我们可以尝试通过修改数据库查询参数,获取未授权的数据,如红包的具体位置或密码。 如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包。这个过程需要我们对常见的漏洞类型有一定的了解,并具备相关的漏洞利用技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值