ctfshow——robots后台泄露

最新推荐文章于 2025-12-12 22:11:09 发布

原创最新推荐文章于 2025-12-12 22:11:09 发布 · 233 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#web #web安全 #sql #算法 #数据结构

CTFshow——VIP限免专栏收录该内容

12 篇文章

订阅专栏

题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路

题目如上图所示

根据提示，我们可以在URL上查看是否存在robots文件

打开后发现其中的内容如上图所示，存在一个flagishere.txt文件，我们可以继续在URL上进行操作。

打开flagishere.txt后，成功找到了flag

ctfshow{8b2db612-b2d0-4475-8b47-7d3c1ced02ae}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

莫思竹

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTFshow robots后台泄露题解

kater_1的博客

02-06

1106

robots后台泄露是一道考察网络协议的题目，主要考察选手是否了解robots协议，并知道robots协议下存在哪些目录文件。

ctfshow——web（持续更新）

qq_55202378的博客

10-27

960

查看源代码： base64编码特征：大小写+数字，偶尔最后几位是=。登录界面，先测一下是不是存在SQL注入漏洞 SQL注入常见的测试方法就是：再用sqlmap去跑数据库里的内容：（这里直接跑数据包）看到函数，这一题应该是与文件包含有关。是包含GET传参中url参数的值，那么可以考虑php伪协议中的input协议和data协议。关于php://input和data://text/plain，简单来说：故，poc：

参与评论您还未登录，请先登录后发表或查看评论

ctf.show web robots后台泄露

Sk1y的博客

05-06

607

robots.txt

ctfshow robots泄露

qq_55777983的博客

07-19

301

打开网页题目是robots泄露直接访问robots 发现一条路径访问发现的路径发现flag (好水

Robots文件信息泄露原理以及修复方法

it知识分享 free for nothing..

04-01

1573

Robots文件信息泄露原理以及修复方法

Web应用安全—信息泄露

weixin_42340783的博客

04-25

1116

从书本和网上了解到Web应用安全的信息泄露的知识，今天跟大家分享点。漏洞描述：搜索引擎可以通过robots文件可以获知哪些页面可以爬取，哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范，其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯，如果robots.txt文件编辑的太过详细，反而会泄露网站的敏感目录或者文件，比如网站后台路径，从而得知其使用的系统类型，从而有针对性地进行利用。测试方法：1、检测形式多样，工具爬虫扫描得到敏感文件的路径，从而找到robots文件；2、手工挖

CTFshow——web入门（信息泄露）

doraemon12345的博客

05-30

1930

web1 源码泄露直接 f12 在下面注释行中可以看到flag web2 前台js绕过方法有很多： 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露题目提示没思路抓包看看，就用burp抓个包看看，在响应头里发现flag web4 robots后台泄露题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路。访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web

ctfshow——信息搜集

qq_55202378的博客

01-02

1251

当vim异常退出时，都会生成一个用于备份缓冲区内容的swp临时文件，来记录了用户在非正常关闭vim编辑器之前未能及时保存的修改，用于文件恢复。一个非常重要得到文件，通常情况下，主要用于指定搜索引擎蜘蛛spider在网站里的抓取范围，用于声明蜘蛛不可以抓取哪些网站资源及可以抓取哪些网站资源。可以看到用户名和加密后的密码，加密方式使用的是AES，然后代码中也给了加密模式、填充方式、密钥和偏移量。，本想上传文件，发现无法上传，但是文件空间就可以看到网站本地的目录。，当然也可以使用其他的目录扫描工具。

CTFshow——信息收集11-20

lee_maple的博客

01-22

3194

Web11 解题方法：发现本题没有可配置环境，题目提示域名其实也可以隐藏信息，比如ctfshow.com就隐藏了一条信息我们在网络搜索一个域名服务对ctfshow.com进行查询查看更多，在TXT记录中发现了flag Web12 解题方法：本题告诉我们管理员密码有时就是网上公开的的内容，那么我们猜测用户名和密码一定是禁止爬取的，所以先利用robots协议查询到了用户名为admin 之后回到初始页面中，发现这串数字是最有可能充当密码的，经过验..

CTFshow——信息收集1-10

lee_maple的博客

01-15

9569

Web1 鼠标右键查看源码，即可看到flag Web2 找到开发者选项，看网页源码，即可获得flag Web3 使用burp对该页面抓包，即可获得flag Web4 首先了解robots协议： robots协议： robots.txt文件是一个文本文件，使用任何一个常见的文本编辑器，比如Windows系统自带的Notepad，就可以创建和编辑它。robots.txt是一个协议，而不是一个命令。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。

Robots.txt泄露敏感信息

zHx981的博客

01-04

4217

Robots.txt泄露敏感信息首先robots是什么？ Robots是网址和爬虫之间的协议，网站通过robots协议（robots.txt）来告诉搜索引擎哪些页面可以进行抓取。搜索蜘蛛在访问一个网站时，会首先检查站点跟目录下是否存在robots.txt，之后按照文件中的内容规定来确定访问的范围。 Robots.txt 泄露敏感信息的原因是什么？ robots.txt文件本身没有什么漏洞，她是告诉搜索引擎蜘蛛哪些文件可以爬行，哪些不可以爬行。而我们一般在写robots.txt文件的时候，为了防止搜索引擎

robots.txt文件信息泄漏

fansenliangren的博客

11-21

3127

搜索引擎可以通过robots文件可以获知哪些页面可以爬取，哪些页面不可以爬取。robots.txt文件可能会泄露网站的敏感目录或者文件，比如网站后台路径，从而得知其使用的系统类型，从而有针对性地进行利用。

ctfshow VIP限免题目 wp

dangejinghong的博客

04-04

1019

数据库恶意下载前端密钥泄露 js敏感信息泄露 CDN穿透探针泄露密码逻辑脆弱编辑器配置不当内部技术文档泄露敏感信息公布域名txt记录泄露 cookie泄露 vim临时文件泄露版本控制泄露源码2 版本控制泄露源码源码压缩包泄露 phps源码泄露

ctfshow(vip限免题)

Aurora_lili的博客

04-07

1491

Cookie就是由服务器发给客户端的特殊信息，这些信息中会包含客户端的身份信息，客户端在收到这些信息后会以文本文件的方式保存在客户端，之后客户端每次向服务器发送请求的时候都会在Cookie Header中带上这些信息。是由于运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。svn1.6及以前版本会在项目的每个文件夹下都生成一个.svn文件夹，里面包含了所有文件的备份，文件名为 .svn/text-base/文件名.svn-base。

robots.txt 向黑客泄露了网站的后台和隐私

龚清林的博客

08-01

6843

前几天有朋友在网站通过聊天窗口问红涛，有什么什么办法阻止搜索引擎的收录，因为自己网站上面有的东西不想被搜索引擎收录。其实是可以实现的，在这里就有必要好好介绍一下robots.txt文件，因为通过这个robots.txt全完可以实现搜索引擎收录的问题。　　其实不管是企业网站还是门户网站，上面都会有些资料是保密而不对外公开的。怎么样做到不对外公开呢?唯一的保密的措施就是不让搜索引擎来搜录这些信息。这样

【网络安全】一、虚拟局域网设置和应用

最新发布

dochyi的博客

12-12

916

本实验通过配置跨交换机的VLAN和Trunk链路，验证了VLAN的网络隔离功能。使用3台Cisco交换机和6台PC搭建拓扑，通过创建VLAN4和VLAN14并分配端口，配置Trunk链路实现跨交换机通信。测试结果显示：同VLAN主机可通信，不同VLAN主机无法通信，验证了VLAN能有效隔离广播域并实现访问控制。实验强调了VLAN在网络安全中的重要作用，包括缩小广播域范围和限制非法跨网段访问，同时培养了交换机配置和网络拓扑搭建的实践能力。

网络安全认证考取证书有哪些？

GZ_TOGOGO的博客

12-03

524

这个ISACA颁发的证书，聚焦数据生命周期安全，从分类分级、风险评估到泄露防护，全是企业数据安全岗的核心需求。想当“白帽子黑客”？它由EC-Council推出，专门教合法渗透测试，课程涵盖漏洞扫描、社会工程学、恶意代码分析，全程模拟真实黑客攻击，教你“以攻代防”搞安全。它细分了安全集成、运维、应急响应等7个方向，每个方向都盯紧具体岗位需求，比如“安全运维”就专考服务器防护、漏洞修复这些实操技能。报考门槛不高，大专学历+相关工作经验就行，备考抓牢信息安全原理和案例分析，吃透教材再刷题，通过率稳在70%以上。

渗透测试行业术语扫盲（第六篇）—— Web安全专用类术语

qq_39241682的博客

12-09

866

Web是渗透测试的主战场。要在此作战，不仅要懂攻击漏洞（如上一篇所述），更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”，从维持登录状态的Cookie，到攻击者留下的Webshell，再到防御者的CSP策略，为你揭示这个战场的完整规则与装备图景。

【Web安全】SSRF

qinjilll的博客

12-12

939

SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞，允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制，常见于社交分享、在线翻译、图片加载等功能点。漏洞利用方式包括：探测内网存活主机和开放端口利用file协议读取本地敏感文件访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行防御措施：白名单限制：仅允许访问可信域名/IP和协议输入校验：过滤特殊字符，校验IP归属内网服务加固：禁用未授权访问，设置强密码

robots.txt泄露敏感信息

04-24

当网站使用robots.txt文件时，它可以用来指示搜索引擎爬虫哪些页面可以被访问或不被访问。然而，如果robots.txt文件被错误地配置或者包含敏感信息，可能会导致敏感信息泄露的风险。以下是一些可能导致robots.txt泄露敏感信息的情况： 1. 指示搜索引擎不访问敏感页面的错误配置：如果网站管理员错误地配置了robots.txt文件，可能会导致搜索引擎无意间访问到敏感页面，从而泄露敏感信息。 2. 明确列出敏感目录或文件：如果robots.txt文件明确列出了敏感目录或文件，并且搜索引擎遵循了这些指示，那么攻击者可能会通过查看robots.txt文件来获取敏感信息。 3. 误将敏感信息放在robots.txt文件中：有时候，网站管理员可能会错误地将敏感信息放在robots.txt文件中，这样一来，搜索引擎爬虫在遵循robots.txt指示时就会获取到这些敏感信息。为了防止robots.txt泄露敏感信息，以下是一些建议： 1. 审查和测试robots.txt文件：确保正确配置了robots.txt文件，并且没有包含任何敏感信息。 2. 不要明确列出敏感目录或文件：避免在robots.txt文件中明确列出敏感目录或文件，以防止攻击者获取到这些信息。 3. 将敏感信息放在其他安全的位置：如果有必要，将敏感信息放在其他安全的位置，而不是放在robots.txt文件中。 4. 定期审查和更新：定期审查和更新robots.txt文件，以确保其中不包含任何过时或不必要的信息。