ctfshow{e8325868-bc77-4bc1-99d2-18dba88bf244} ( •̀ ω •́ )y web6 解压源码到当前目录,测试正常,收工 既然说了是解压源码 说明源码包在当前目录 所以我们直接下载源码包 就找一些简单试试 成功 打开压缩包 打开txt 发现flag 但提交不上去 错误 为什么呢 为什么是错误呢 为什么源码包里有这...
此时就需要对网站整站或者其中某一页面进行备份。 当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问...
F12源代码。 Ctfshow 信息搜集 web 2 前台限制F12和右键,可以Ctrl+u/条件竞争/viewsource/抓包 打开一个空白网页,然后按F12,接着再把网址复制进去并回车/burpsuite拦截,重发。 Ctfshow 信息搜集 web 3 遇事不决抓个包,在响应头里面。 Ctfshow 信息搜集 web 4 在robots.txt。 CTFshow 信息搜集 web5 /index.php...
这题我们利用F12的network功能,即可发现flag隐藏在数据包中。 web4 根据题目的提示,我们打开robots.txt文件(不知道这个文件是干嘛的自行百度了解) 打开文件中出现的文件,即可获得 web5 这题考的是phps-即php的源代码文件 web6 利用dirsearch.py扫描出源码备份 打开txt,发现flag不正确 打开index.php后获得正确flag地...
ctfshow{20d57e07-813f-4133-9fc2-1b3d7999f890} web10: cookie只是一块饼干,不能存放任何隐私数据 F12去网络里面找cookie值url编码解码即可。 ctfshow{7b73f5ee-48b5-4f4e-9a17-a1482c3380a1} web11: 域名其实也可以隐藏信息,比如flag.ctfshow.com就隐藏了一条信息 ...
提示sql 我是直接过滤的,哈哈哈 web18 去JS代码中看到 解码 web19 源码发现账号密码 username=admin&pazzword=a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04 pazzword不要写出password 哈哈哈 web20 访问/db/db.mdb ・安徽
CTFshow-WEB⼊门-代码审计 前⾔ 开始快乐的代码审计篇。 web301 源码下载下来分析⼀波,⼤部分都是⽆⽤的⽂件,主要还是在checklogin.php那⾥: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=...
web1 直接F12找到flag web3 使用开发者工具中的network功能 在返回包的response headers中找到flag 或者使用burpsuite抓包 web4 常规文件 根据提示访问robots.txt web5 根据提示是源码泄露 访问url/index.phps下载备份文件
Ctfshow-Web信息搜集(Web1-20) web1 源代码 打开链接即使源代码,直接get flag web2 js前台拦截 它不让我看源代码,我就打开firefox,Fn+F12查看源代码获得flag web3 头 打开题目是这样 查看源代码,没东西,F12截包查看消息头发现flag we
web1 题目:开发注释未及时删除 查看页面源代码即可 web2 题目:js把鼠标右键和f12屏蔽了 方法一: 禁用JavaScript 方法二: url前面加上view-source: web3 题目:抓个包试试 抓包在请求包发现flag web4 题目:总有人把后台地址写入robots 访问ro