CTFhub技能树-Web-信息泄露

原创 已于 2024-08-14 12:46:24 修改
· 2.3k 阅读 · 35 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端

于 2024-08-14 12:44:19 首次发布

目录

在这里插入图片描述

0x01 目录遍历

题目:

在这里插入图片描述
在这里插入图片描述

WriteUp:

直接一个一个目录找

在这里插入图片描述

flag:

ctfhub{01dc44f5c4984db36ce03410}

0x02 PHPINFO

题目:

在这里插入图片描述

在这里插入图片描述

WriteUp:

直接Ctrl + F查找“FLAG”

在这里插入图片描述

flag:

ctfhub{ab673f80910aed49a56bf0c5}

0x03 备份文件下载

在这里插入图片描述
6%8A%80%E8%83%BD%E6%A0%91.assets%2Fimage-20240813094928748.png&pos_id=img-E3U5ktn7-1723609919454)

3.1、网站源码

当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。

题目:

在这里插入图片描述

WriteUp:

使用扫描工具扫描备份文件,或者按题目提示进行排列组合

在这里插入图片描述

下载文件http://challenge-b78f9cda88ce0b15.sandbox.ctfhub.com:10800/www.zip

在这里插入图片描述

浏览器中访问http://challenge-b78f9cda88ce0b15.sandbox.ctfhub.com:10800/flag_672616102.txt得到flag

flag:

最低0.47元/天 解锁文章
CTFHUBWeb技能树——信息泄露writeup
生活·代码_这里是青_分享快乐
04-12 7549
CTFHUB writeup,web技能树信息泄露,目录遍历、PHPINFO、备份文件下载、网站源码、bak文件、Vim缓存、.DS_Store、Git泄露、Log、Stash、Index;路径遍历攻击(也称为目录遍历)旨在访问存储在Web根文件夹之外的文件和目录。通过操纵带有“点-斜线”序列及其变化的文件或使用绝对文件路径来引用文件的变量,可以访问存储在文件系统上的任意文件和目录,包括应用程序源代码、配置和关键系统文件。需要注意的是,系统操作访问控制
CTFHub技能树-Web-信息泄露-备份文件下载
qq_54037445的博客
11-17 1534
CTFHub-web-信息泄露-备份文件下载 网站源码、bak文件、vim缓存、.DS_Store
CTFHUB-技能树-web-信息泄露
qq_51780583的博客
06-04 1185
CTFHUB-技能树-web-信息泄露
CTFHub技能树web-信息泄露
m0_53314778的博客
01-11 457
1.目录遍历 打开环境,点击开始寻找flag; 在2/1处找到flag 2.PHPINFO 直接点击查看phpinfo 直接 ctrl+f 搜flag就行 2.备份文件下载 1)网站源码 当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 有提示,提示我们网站源码备份文件的文件名和后缀,一个一个试,其实我们试试zip和rar就行了,因为tar和tar.gz是linux下的压缩包; 我们在网址1008后输入 /www.zip 下载得到 里面有三个文件
CTFHub技能树 Web-信息泄露 详解
weixin_45808483的博客
11-11 6998
目录遍历 开始查找 进入到了/flag_in_here文件树中,依次遍历寻找: PHPINFO 点击查看phpinfo 浏览phpinfo.php,搜索flag 备份文件下载——网站源码 当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 查看提示: 我们可以根据文件名和后缀进行查找: 这使用python脚本进行扫描 import requests if __name__ == '...
ctfhub 技能树-web-信息泄露
m0_62207170的博客
03-28 1008
ctfhub 技能树-web-信息泄露
ctfhub技能树-信息泄露
weixin_46215373的博客
09-21 110
信息泄露的git泄露开始git泄露判断可以先用dirsearch扫一次,可以扫到是否改动过git相关知识工具:只能用python2执行,执行后生成文件在dist目录,进入后存在隐藏文件.git,然后进入目录使用git show(查看历史改动)
CTFHUB -web-Git信息泄露
2301_76815548的博客
04-26 1216
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错。安装dirsearch---apt-get install dirsearch。先用管理员权限进行跟新------apt-get update。----.在命令行输入sudo passwd root-git reset --hard<分支名>addflag。----按照提示操作就可以设置新的root密码。
ctfhub-web-信息泄露-题解
baishiqi12的博客
08-13 516
CTF Hub”是一个用于练习和解决各种安全问题的平台。信息泄露是CTF挑战中的一个常见题目类型,目标是通过各种技术手段获取系统中意外暴露的敏感信息。
CTFHub-Web-信息泄露-Git泄露
qq_54037445的博客
11-18 3590
CTFHub-Web-信息泄露-Git泄露 Log、Stash、Index
CTFhub技能树-信息泄露(1)
ArthasMenethil110的博客
09-25 406
目录遍历和phpinfo没什么难度,基本就是一个一个找就行了 练习题目都挺简单的,希望大家尽量先不要看解法自己做一下试试。 备份文件下载:当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。 一、网站源码:这个已经给出了明确的提示了。 常用备份文件名:webwebsite、www、wwwroot、back、backup 常用备份后缀名:.zip、.tar、.tar.gz、.bz2 按照这几个名...
CTFHub 技能树-Web-信息泄露
最新发布
qq_65379983的博客
02-25 1333
CTF:Web-信息泄露
CTFHub -技能树信息泄露,密码口令)
qq_45653588的博客
07-23 565
0X00 目录遍历 这题进入后是这样的文件目录形式,结合题目,尝试查看文件夹内内容,或者是可以选择使用扫描器寻找文件。 找到flag的txt文件,找到flag 0X01 PHPINFO 这题点击进入PHPINFO 尝试CTRL+F搜索flag,直接找到了flag。 0X02 备份文件下载-网站源码 进去后提示我们网站备份源码可能的文件名和后缀,这里可以使用它提供的名字进行组合爆破,也可以使用工具进行扫描。 在这我使用了御剑进行扫描,发现可疑目标,尝试访问www.zip,将文件下载下来 打开发现带
CTFHub技能树(一)Web-信息泄露
qq_52854348的博客
01-15 1270
目录遍历漏洞是常见的安全漏洞,也称为路径遍历漏洞、相对路径漏洞等,该漏洞可以遍历服务器上的任意文件,可能包含用户数据、程序代码等敏感信息的泄露。PHPINFO信息泄露漏洞是指由于PHP脚本中phpinfo()函数的输出,攻击者可以通过访问网页查看PHP配置、服务器环境和其他敏感信息。
CTFHUB技能树——信息泄露——目录遍历(新手必看)
qq_64948897的博客
07-24 930
ctfhub技能树,萌新必看,信息泄露目录遍历
ctfhub技能树web
m0_58030673的博客
05-19 1515
ctfhub技能树web方向wp
CTFHub 技能树web
weixin_63231007的博客
07-19 2658
这道题是想让我们对http的请求方式有一个了解。由这些可知需要用CTFHUB的请求方式请求index.php才能拿到flag这就需要用到我们windows自带的curl命令了。curl用法参数-v显示整个通信的过程-X指定HTTP请求方法这里就需要用到我们的-X参数了。得到flag。也可以用burp抓包更改左上角的请求方式。......
ctfhub web技能树
mrwangtw的博客
09-03 456
目录 信息泄露 目录遍历 phpinfo 网站源码(当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。) bak文件(当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。) vim缓存(当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。) 信息泄露 目录遍历 一个一个点发现在/2...
CTFhub技能树web
01-07
### CTFhub Web 安全技能树与学习路径 #### 了解基础概念 深入理解Web应用的工作原理对于掌握CTF中的Web安全挑战至关重要。这包括但不限于HTTP/HTTPS协议的基础知识,以及如何通过不同的HTTP方法如GET、POST和CONNECT发起请求[^3]。 #### 掌握常见漏洞利用技术 针对Web应用程序的安全测试通常涉及识别并利用各种类型的漏洞。例如,在某些情况下,可以通过特定字符或编码方式来绕过URL过滤机制;而在其他场景下,则需探索环境变量配置错误所带来的安全隐患,像访问未受保护的`$_ENV["FLAG"]`这样的敏感数据泄露问题[^1][^2]。 #### 实践SSRF攻击技巧 服务端请求伪造(Server-Side Request Forgery, SSRF)是一种允许攻击者诱骗服务器向内部网络或其他外部资源发送恶意构造的数据流的技术。在实际操作过程中,可能会涉及到使用PHP内置函数如cURL库执行HTTP POST请求,并处理重定向响应的情况[^4]。 #### 提升逆向工程能力 当面对已部署的应用程序时,能够获取其背后的逻辑结构是非常重要的。如果存在源码泄漏现象,那么分析这些代码可以帮助发现潜在的安全弱点,从而为进一步的研究提供方向。 #### 构建全面的知识体系 为了更好地应对复杂的CTF竞赛题目,建议构建一个完整的Web安全技能框架,该框架应覆盖从理论到实践各个方面: - **基础知识**:HTML/CSS/JavaScript编程语言及其特性; - **中间件平台**:熟悉常见的Web开发框架和技术栈; - **工具集运用**:熟练掌握Burp Suite Pro等专业的渗透测试软件; - **法律法规意识**:清楚知道合法合规地参与网络安全活动的重要性。 ```python import requests def fetch_flag(url, key): payload = {'key': key} response = requests.post(url, data=payload) return response.text url = "http://example.com/flag.php" key = input("Enter the secret key: ") print(fetch_flag(url, key)) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值