CTFshow—信息收集篇

最新推荐文章于 2025-04-19 09:44:20 发布
最新推荐文章于 2025-04-19 09:44:20 发布
阅读量705 收藏 16
点赞数 10
分类专栏: CTF 文章标签: CTFshow 信息收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_76227305/article/details/144719847
版权

前言

此系列的文章用于记录我CTF学习的过程,每天更新,共勉之。

1-5

Web1

flag在源码这里。

Web2

浏览器无法查看源码,直接bp抓包重发即可。

Web3

flag在数据包里面

Web4

访问robots.txt。

接着安装提示访问flagishere.txt即可。

web5

根据提示直接访问php备份文件即可,/index.phps

6-10

web6

dirsearch扫目录,有www.zip,下载解压即可。

web7

直接扫下目录有.git文件,直接访问即可得到flag。

web8

还是目录扫描,发现有svn文件,直接访问即可得到flag。

web9

考察的是vim缓存信息泄露,直接访问/index.php.swp下载文件即可,注意vim在编辑文档的过程中如果异常退出,会产生缓存文件,第一次产生的缓存文件后缀为index.php.swp,后面的则是index.php.swo。

web10

flag在cookie这里。

11-15

web11

这道题不知道为啥,我在阿里查dns解析记录差不到。用一张别人的图吧。

web12

扫一下目录,有admin后台。

访问需要用户密码才行,用户为admin,密码在网站最下方。

web13

找了半天发现这个document是可以点击的。

点进去之后可以看到后台地址,直接访问即可得到flag。

web14

目录扫描。

访问/editor,是个编辑器,我们点击这个插入文件。

点击文件空间。

来到/var/www/html网站目录下,这个nothinghere里面有个fl000g.txt,所以我们直接访问/nothinghere/fl000g.txt即可。

web15

扫下目录发现后台。

直接访问需要密码,点击忘记密码需要输入居住的城市可以重置密码。

网站底下有个qq邮箱。

qq直接搜qq号可以得到所在城市,然后重置密码即可。

16-20

web16

考察的是php探针,常见的探针有tz.php,X.php,u.php,这里直接访问tz.php,然后查看phpinfo。

查flag即可。

web17

直接扫目录即可,会看到一个backup.sql文件。

web18

查看JS文件,发现只要分数大于100就会显示一段编码。

我们直接复制过来解密。

安照提示访问110.php。

web19

查看前端代码。

POST提交。

web20

扫一下目录发现有/db路径。

直接访问,结合题目给出的mdb文件泄露,直接访问/db/db.mdb即可下载文件,记事本打开搜flag即可。

总结

信息收集的题目都不算难,可以看到大多数的信息泄露都是要扫一下目录,还有备份文件。有一些也会藏在源码或者JS代码里面。

最后经典语句收尾

以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

CTF中常见信息搜集学习总结
i8o6o6的博客
11-28 4968
信息搜集的必要性:在线上解题时,信息搜集可以帮助我们建立解题思路,发现解题方向。 0.题目描述 其实最主要的还是题目描述里的信息,不然没法做题,用心读题才能把题做好。 1.页面源代码 这个就不用多说了,现在基本上打开题目就是习惯性地按F12,抓包看源码。 源码里面可能会发现一些JS脚本代码、注释掉的标签信息、在图片标签的src属性里可能会发现网站后台的路径等等。 2.敏感文件泄露 ①robots.txt 当我们在搜索引擎上打上内容点击搜索的时候,搜索引擎靠一个叫robot的程序.
网络安全学习笔记-CTF信息收集
阿达斯加的博客
05-18 1344
CTF信息泄露 当我们访问web页面时,常常会出现相关的个人信息,比如邮箱、电话、地址等等。在CTF的比赛中,出题人可能会故意留给我们一些重要信息,多见于cookie、源代码、请求头、响应头中。 CTF文件泄露 扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 常见扫描器—Dirsearch:dirsearch是一个py
CTF-信息收集
weixin_44770698的博客
06-22 3241
ctfshow-web信息收集部分WP
CTF情报收集(详细!!!全!!)
最新发布
weixin_74738833的博客
04-19 872
(一)敏感信息泄露 1.版本控制系统泄露 (1)Git泄露 练习1:基础 练习2:Log 练习3:Stash 练习4:Index (2)SVN泄露 练习1:基础 练习2:用dvcs-ripper (3)CVS泄露 (4)HG泄露 练习1:用dvcs-ripper 2.配置文件泄露 3.web爬虫协议 4.协议头信息泄露 5.域名txt记录泄露 6.管理员密码、邮箱等网站公开信息泄露 7.内部技术文档泄露 8.编辑器配置不当 9.探针泄露 (二)源码泄露 1.F12查看源码 2.F12查看不了源码(前台JS绕
CTF | 信息收集
m0_60651303的博客
07-14 348
在linux中隐藏文件最前面是.,网站管理员可能没有删除.git隐藏文件。1、用御剑扫一下判断是什么东西泄露,.git泄露、.svn泄露。若源码什么都没有,使用浏览器自带网络工具或BP查看一下数据包。总有人把后台地址写入robots.txt,泄露部分网站目录。直接访问url/index.php.swp。直接访问url/.git。访问index.php。2、vim缓存信息泄露。
CTF之信息收集
WenZhongxiang
10-07 535
GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。它可以让开发者们在这里托管自己的代码,并进行版本控制,是全球最大的源代码托管网站之一。信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。端口扫描常用扫描工具。
最新CTFShow-WEB入门--信息搜集详细Wp_ctfshow web,2024年最新看这文章就行了
2401_84264244的博客
05-13 1043
index.phps。
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web
2401_84297944的博客
04-28 1115
F12。
CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
2401_87205009的博客
09-18 438
【代码】CTFShow-WEB入门--信息搜集详细Wp_ctfshow web(1)
ctfshow-web入门-信息搜集wp
m0_53567065的博客
10-31 772
ctfshow-web入门-信息收集wp
CTF信息搜集 与 敏感信息搜集方法
2301_81556781的博客
07-01 1568
1.web目录 (web目录扫描工具 eg:dirsearch)2.用户信息(下方详解)3.备份文件 (下方有详细解释)4.错误信息 (下方DEBUG模块详解)5..svn和.git (版本控制)
CTF学习之信息搜集
DMHY123的博客
09-25 982
CTF基础信息搜集
CTFWEB·通过CTFshow的例题来学习信息收集类题目的题型及对应做法
qq_54502707的博客
12-18 2220
大家好,这里是KOKO师傅~ WEB方向最简单的莫过于信息收集类型题目,我们以CTFshow的相关题目作为例题对这一类型的题目进行一个模块的针对练习!
CTFshow Web入门 part.1信息搜集
qq_61758260的博客
12-19 1528
1.Web1 描述:开发注释未及时删除 直接查看源码就可以得到flag 2.Web2 描述:js前台拦截 === 无效操作 可在开发者工具栏查看到flag 3.Web3 描述:没思路的时候抓个包看看,可能会有意外收获 可使用bp也可在开发者工具栏查看: ...
CTFshow-Web入门-Web1-20 (信息收集完结
热门推荐
m0_61155226的博客
03-07 1万+
CTFshow-Web入门-Web11-20 (信息收集完结
CTFShow-WEB入门--信息搜集详细Wp
Aluxian_的博客
06-02 3002
CTFShow-WEB入门--信息搜集详细Wp
CTFshow——信息收集1-10
lee_maple的博客
01-15 8519
Web1 鼠标右键查看源码,即可看到flag Web2 找到开发者选项,看网页源码,即可获得flag Web3 使用burp对该页面抓包,即可获得flag Web4 首先了解robots协议: robots协议: robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它 。robots.txt是一个协议,而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。
CTFSHOW WEB 01 - WEB 20 信息搜集 详解
qq_49399033的博客
02-22 2976
域名解析记录,也称为 DNS 记录,是保存在 DNS 服务器上的信息。它们将人类可读的网址(例如,[www.example.com)映射到机器可读的IP 地址(例如,192.0.2.1)。这是因为计算机和其他设备使用 IP 地址在互联网上找到和交流。A 记录:这是最常见的 DNS 记录类型,用于将域名映射到一个 IPv4 地址。AAAA 记录:这是 A 记录的 IPv6 版本,将域名映射到一个 IPv6 地址。CNAME 记录。
CTFshow 信息搜集
zyw268的博客
05-13 990
目录扫描 发现有admin这个路径 进入后发现是一个登录界面 用户名尝试admin 点击忘记密码发现密保是他所在的城市 想到之前的那个qq邮箱 添加他发现是西安的 输入西安成功重置密码 登录进去获得flag。index.php和fl000g.txt都没有flag 联想到fl000g.txt内容flag here 进入fl000g.txt成功获得flag。提示了phps源码泄露 用目录扫描工具没扫出来 看wp 发现有index.phps这个路径 进入路径自动下载 用notepad++打开获得flag。
ctfshow web入门 信息搜集
03-16
CTFShow Web入门中的信息搜集包括以下内容: 1. Whois查询:通过Whois查询可以获取网站的注册信息,包括域名所有者、注册商、注册时间等。 2. 网站备案查询:通过网站备案查询可以获取网站的备案信息,包括备案号...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值