Bugku CTF——source

已于 2025-03-23 21:25:14 修改
阅读量1k 收藏 9
点赞数 10
分类专栏: Bug CTF WEB 文章标签: 网络
于 2024-10-30 18:15:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_83809941/article/details/143370209
版权

一、题目:

ip地址:http://117.72.52.127:14669

二、答案:

1. dirb 扫描 URL 发现有 .git,很可能是git泄露:

(PS:这是后来补充的步骤,所以终端页面不一样)

2.进入Linux终端

输入命令:wget -r IP地址/.git

3.安装git(已安装忽略此步骤)

(1)先切换到文件下载的地方,以便后续操作。

(2)输入命令:dnf install -y git

(3)查看是否安装了git:git --version

4.使用git

(1)输入命令:git reflog

(2)输入命令:git show d256328

(3)输入命令:git show 40c6d51

三、命令解析:

1.dirb http://117.72.52.127:14669

2.wget -r 117.72.52.127:14669/.git

3. dnf install -y git

4.git reflog

5.git show d256328

Bugku中的source
A272036149的博客
04-16 764
进入环境后 我们首先查看源码可以得到一个flag 这肯定是个假的(已经提交过了确实是个假的) 题目提示要用Linux 这里使用的是kali 我们首先dirsearch一下这个网站 可以看到有.git文件泄露 也可以点开那个链接但是在里面没有找到flag 然后选择下载这个.git文件 然后进入这个文件夹 输入git reflog查看文件状态 可以看到有四个都有flag is here 一个一个查看git show 然后在40c6d51中发现了我们需要的fl
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 4150
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
bugku--source
qq_51802152的博客
12-14 1125
bugku--source
Bugku WEB source(超详细题解 WP)
最新发布
2301_81212117的博客
04-06 1894
git 是一个分布式版本控制系统。 用git命令,可以轻松查看项目版本记录和更新日志
bugku——source
m0_46607055的博客
10-29 1069
解题思路: source 有源码的意思。 先 Ctrl + u 查看源代码,得到一个错误的flag。 既然是源码泄露,直接上dirsearch 扫描 python3 dirsearch.py -u "your_url" 发现有git泄露 (忘了截图了,见谅) 使用wget 下载源码 wget -r ip/.git -r 参数为 递归,下载所有文件。 若kali没有 wget ,使用以下命令下载 apt-get update apt-get install wget 下载完..
bugku source
weixin_63810302的博客
09-28 1272
bugku source
Bugku CTF web——source解题
weixin_71914594的博客
10-16 1899
Bugku——source
Bugku-source
qq_51283187的博客
08-11 2033
Bugku-source 第一次用Linux来做题,差点以为要烂题了 看到题目,没有线索.先扫目录,可以用御剑也可以用kali自带的 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt 然后扫出来发现有git文件 访问一下,发现确实是有很多资源噢 于是乎把它们都下载下来, 这里下载的话不一定要用githack,感觉这个工具现在好难用啊,要python3但是windows环境下我又不会玩,只
BugkuCTF-WEB-本地包含
Jaychouzzk
11-15 604
题目提示,需要将flag.php包含进去才可以得到flag 百度了一下$_REQUEST函数,发现易存在sql漏洞和变量漏洞覆盖 第二句话要获得hello的值,由于hello为’hello’,所以无论在url栏中对hello赋任何值,都会全盘接受,其中var_dump()是将变量a打印到界面中,在根据eval函数的特性(计算后面括号中的表达式) SO——   (1)a变量由$_REQU...
ctf学习——bugku部分wp
qq_51604088的博客
12-22 438
前言misc考的东西比较杂,所以cj先学这个长长见识~ 这是一张单纯的图片 用010 Editor打开 用Unicode编码转换ASCII即可得到flag key{you are right} 隐写 下载附件后解压得到图片 用010Editor打开 看到宽和高不一致,把高度A4改成F4即可 BUGKU{a1e5aSA} telnet 下载附件后打开010Editor,直接搜索flag即可得到 flag{d316759c281bf925d600be698a4973d5} 眼见非实 解压后得到docx,
攻防系列——板块化刷题记录(敏感信息泄露)
weixin_43140411的博客
10-29 2304
因为之前通关了两个靶场,说想试一下在线靶场联系一下。其实感觉思路还是很有限。遇到难题可怎么办呜呜
Bugku—web题解
Lemon's blog
08-21 2704
前言:最近做了一些Bugku入门的web题目,感觉web题挺有趣的,并非是得出flag,而是可以通过一个题目学习到很多知识。 域名解析 题目说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag,如果了解域名解析的原理和系统文件host的作用,那这道题就很简单了。 通俗的话说:域名是为了我们方便记忆,但计算机识别的是IP地址,所以要将域名解析为IP地址才能访问到自...
bugkusource
weixin_45942044的博客
03-14 435
进行base 64解码发现解码失败,所以这个flag是假的。输入命令git reflog 显示可引用的历史flag记录。然后使用git show命令挨个查看,最后得到flag。输入命令wget -r 将git下载下来。打开kali,用dirb进行目录扫描。
bugku CTF source-我哥说用linux
boooooooooooooo的博客
11-06 1292
利用扫描器发现有.git/ 泄露文件 利用Kali扫描下载git文件 ls 查看下载文件 cd IP/ cd到文件夹里 cd .git/→cd logs→git reflog查看下载文件 选择:git show 40c6d51 即可查看flag
bugku web source
cuddlylm的博客
06-22 515
没有任何提示,看一下源码 这个是假flag dirsearch一下看看吧 看样子是有git泄露的 githack一下 python GitHack.py http://114.67.246.176:11104/.git 看看这个文件李有啥 别看了,我看过,什么都没有,只有假flag 执行 git reflog 查看执行的命令日志 用git show命令看文件 做到这里就莫得思路了,查了一下 在git reflog之前,要先用 wget -r http://ip_address/.git .
BugKu——Web——source
m_de_g的博客
09-02 1421
BugKu——Web——source 一、解题思路 1.查看页面源代码,看到flag 2.base64解密 3.有点奇怪,不过先提交试试 4.果然没有这么简单,根据提示Linux环境,使用Xshell连不上,根据题目提示Source,那肯定是源代码泄露,还有一个提示就是源代码里的tig,有点脑洞是git泄露 wget -r http://114.67.246.176:17920/.git 5.下载下来的文件,进入到目录中 6.执行命令git reflog 7.接下来了就直接使用一个一个文件的测试
Bugku CTF 每日一题 source 社工-伪造
彼岸花苏陌的博客
01-15 2666
source 点开查看没啥头绪 f12 后发现有个flag 提交后说错误 果然没那么容易 但是出现了个tig 百度得知是git有关工具 于是考虑git泄露 用dirsearch扫一下发现果然泄露了 在网页后面加上.git/后发现出现了目录 但是提示用linux 于是打开kali用weget下载源码 wget -r http://114.67.175.224:19059/.git/ 下载后用版本回退看下 用git log发现无异常 git reflog出现版本 (这里注意一下git reflog可以找除被删
bugku souce
weixin_46578840的博客
06-29 334
提示 打开场景后,f12看到一个flag,一看就是假的 因为提示说Linux,所以用的gobuster跑一下,发现有/.git/目录 gobuster dir -u http://114.67.246.176:10491/ -w /usr/share/wordlists/dirb/common.txt wget -r http://114.67.246.176:10491/.git 递归下载该网站目录下的文件及文件夹 git reflog 查看执行的命令日志 使用git show commit_id
Bugku---web---source
weixin_47450099的博客
05-02 630
Bugku---web---source 网络安全
BUGKU source
03-22
<think>好的,用户现在想查找关于BUGKU的源代码或资源。首先,我需要理解用户的需求。BUGKU可能是一个CTF平台或者网络安全相关的资源库。用户可能是在参加CTF比赛或者学习网络安全,需要相关的源码或资料来练习或研究。 接下来,根据用户提供的引用信息,第一个引用提到解码二维码得到Useful_Massage_1(SVNDQyU3QmZsQGdfaXN)。这里可能需要先解码这段Base64或者其他编码的数据。第二个引用是关于Blob对象的API说明,可能来自某个文档,可能与文件处理有关,但暂时不太相关。 首先处理第一个引用中的SVNDQyU3QmZsQGdfaXN。看起来像Base64编码,尝试解码。SVNDQyU3QmZsQGdfaXN解码后是SCC%7Bfl@g_is。这里可能还有URL编码,继续解码%7B是{,%40是@,所以最终得到SCC{fl@g_is。这像是一个Flag的片段,可能用户需要找到完整的Flag,或者这个线索指向某个资源的位置。 考虑到BUGKU常作为CTF平台,用户可能需要找到相关的题目源码或资源。常见的做法是检查网页源代码,使用工具如Wappalyzer分析技术栈,或者利用GitHub等平台搜索公开的仓库。此外,可能存在隐藏的路径或文件,比如/.git目录泄露,这可以通过工具如GitHacker来恢复源码。 另外,用户提供的第二个引用关于Blob.slice()方法,可能涉及前端处理文件的部分,但不确定与BUGKU资源的关系。可能需要结合其他线索,比如是否有文件上传或下载的功能,或者Blob对象处理中存在的漏洞,但用户的主要需求是源码或资源,所以暂时先关注第一个引用。 建议用户先检查二维码解码后的信息,可能还需要进一步寻找其他部分来拼凑完整Flag。同时,常规的源码获取方法包括检查公开仓库、利用源码泄露漏洞,或者联系平台管理员。此外,CTF题目中的资源有时会藏在非显眼的位置,比如注释、隐藏文件或特定路径下。 最后,需要提醒用户注意合法获取资源,避免未经授权的访问,尊重知识产权。如果用户是在合法范围内寻找资源,这些方法应该能帮到他们。</think>根据您提供的信息,我将分步骤帮助您查找与BUGKU相关的资源: 1. **解码有用信息** - 二维码解码结果:`SVNDQyU3QmZsQGdfaXN` - 经过URL解码后得到:`SCC{fl@g_is` (疑似Flag片段) - 建议继续寻找剩余部分组合完整Flag[^1] 2. **常规资源获取方式** - 官方GitHub仓库(需确认是否存在公开仓库) - 检查网页源代码中的隐藏注释(快捷键Ctrl+U) - 使用Wappalyzer插件分析技术栈 3. **特殊获取渠道** ```bash # 尝试.git目录泄露 wget --mirror -nH http://example.com/.git/ git checkout . ``` 4. **CTF相关技巧** - 使用`dirsearch`扫描隐藏路径: ```bash python dirsearch.py -u http://target.com -e php,zip,bak ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值