ctfshow——域名TXT记录泄露

原创于 2025-02-28 15:41:57 发布 · 737 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #网络 #运维 #安全 #数据结构 #web安全

CTFshow——VIP限免专栏收录该内容

12 篇文章

订阅专栏

提示：

域名其实也可以隐藏信息，比如ctfshow.com 就隐藏了一条信息

5月30日修复，目标地址为flag.ctfshow.com

我们可以从DNS查询工具来搜索它的TXT记录：

Jsons域名解析记录在线工具

ITDOG域名解析在线工具

任意一个网站都可以帮助到我们，通过解析flag.ctfshow.com来找到结果，如果没有显示，就尝试多解析几遍。

最后得到的flag为

flag{just_seesee}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

莫思竹

关注关注

4
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CTFshow实战(11到20题)

qq_61740845的博客

08-29

1708

通过提示信息"公开的信息比如邮箱，可能造成信息泄露，产生严重后果"我们知道了他的网站的公开信息有妙用。他提示我们有时候网站上的公开信息，就是管理员常用密码那么就肯定存在后台登陆页面。通过他的提示我们知道了它是asp+access构架的他的数据库文件是mdb文件。找到这个被编码后的字符串,它是由Unicode进行编码的使以我们去解码它。然后咱们使用burpsuite进行抓包然后把密码换成咱们找到的就可以了。我们用dirsearch去扫描目录第一遍我扫出来一个/db/的目录。

ctfshow信息收集web11~20

qq_55233040的博客

07-19

2074

知识点总结： web11 域名txt记录泄露 web12 敏感信息公布 web13 内部技术文档泄露 web14 编辑器配置不当 web15 密码逻辑脆弱 web16 探针泄露 web17 CDN穿透 web18 js敏感信息泄露 web19 前端密钥泄露 web20 数据库恶意下载题目web11web12web13web14web15web16web17web18web19web20 web11 题目提示：域名其实也可以隐藏信息，比如ctfshow.c

参与评论您还未登录，请先登录后发表或查看评论

【ctfshow】web入门-信息搜集-web11~20

qq_20410657的博客

11-17

411

【代码】【ctfshow】web入门-信息搜集-web11~20。

ctfshow 域名txt记录泄露

qq_55777983的博客

07-24

1115

在线域名解析解析域名是信息搜集中的基础

版本控制、vim备份文件、vim临时文件、域名txt记录泄露

m0_62670778的博客

12-27

736

【代码】web小知识。

CTFshow——web入门（信息泄露）

doraemon12345的博客

05-30

1930

web1 源码泄露直接 f12 在下面注释行中可以看到flag web2 前台js绕过方法有很多： 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露题目提示没思路抓包看看，就用burp抓个包看看，在响应头里发现flag web4 robots后台泄露题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路。访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web

CTFshow——信息收集11-20

lee_maple的博客

01-22

3189

Web11 解题方法：发现本题没有可配置环境，题目提示域名其实也可以隐藏信息，比如ctfshow.com就隐藏了一条信息我们在网络搜索一个域名服务对ctfshow.com进行查询查看更多，在TXT记录中发现了flag Web12 解题方法：本题告诉我们管理员密码有时就是网上公开的的内容，那么我们猜测用户名和密码一定是禁止爬取的，所以先利用robots协议查询到了用户名为admin 之后回到初始页面中，发现这串数字是最有可能充当密码的，经过验..

CTFshow——web入门——信息收集web1-web20 wp

Leaf_initial的博客

07-11

306

CTFshow的web入门中信息搜集全篇

ctfshow(vip限免题)

Aurora_lili的博客

04-07

1488

Cookie就是由服务器发给客户端的特殊信息，这些信息中会包含客户端的身份信息，客户端在收到这些信息后会以文本文件的方式保存在客户端，之后客户端每次向服务器发送请求的时候都会在Cookie Header中带上这些信息。是由于运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。svn1.6及以前版本会在项目的每个文件夹下都生成一个.svn文件夹，里面包含了所有文件的备份，文件名为 .svn/text-base/文件名.svn-base。

ctfshow 信息搜集模块做题 web1~20

Goodric的博客

05-16

2675

ctfshow 信息搜集模块做题 web1~20 VIP 题目限时开放，这不先冲~ 限免模块有二十题，就是 WEB 入门模块里的前二十题 web1~web20 。（web 入门模块里的信息搜集小模块） —— —— 源码泄露（web1）题目描述：开发注释未及时删除直接 F12 得到源码注释里的 flag 。 —— —— 前台JS绕过（web2）打开环境，显示：无法查看源代码。尝试一下，的确无法按 F12 查看源代码。既然是前端，可以刷新页面用 burp 抓包，点击发送就可以看到源代码了，得到

CTFshow 源码泄露

qq_55777983的博客

07-19

329

CTFshow 源码泄露根据题目提示按ctrl+u查看页面代码发现flag （好水

ctfshow 内部技术文档泄露

qq_55777983的博客

07-24

783

根据题目名称又是一种泄露找了很久在网页最下方点击document即可下载内部技术文档打开给了用户名和密码还有一个后台URL 接下来我们访问后台URL，登录即可

CTF-Web11（DNS域名查询TXT文件）

weixin_47059164的博客

08-21

1054

知识点:通过dns检查查询TXT 记录，一般指为某个主机名或域名设置的说明。网站。

ctfshow1

lovechinasomuch的博客

04-17

411

使用vim时意外退出，会在目录下生成一个备份文件，格式为 .文件名.swp，访问/index.php.swp下载备份文件，用记事本打开即可得到flag。打开后先在url后面加/robots.txt 发现有flagishere.txt 在把robots.txt换为flagishere.txt得到flag。输入： flag.ctfshow.com 查询后，发现TXT里面存放了flag。在网页后输入index.phps把其下载好后改为txt文件得到flag。在网页后输入.git即可得到flag。

ctf.show vip题目限免11-20题

2301_80774877的博客

08-29

1268

3.尝试在编辑框中寻找线索，最后在插入文件的连接处找到线索，可以随意访问各级目录，最后在/editor/attached/file/var/www/html/nothinghere/fl000g.txt这级目录下找到fl000g.txt文件，进行拼接/nothinghere/fl000g.txt，找到flag。1.启动靶场进入网页，在网页中寻找信息，发现什么也没有，使用御剑进行目录爆破，发现/.tz.php，进行拼接。1.启动靶场进入网页，发现什么信息也没有，查看网页原代码，根据提示去js文件寻找线索。

ctfshow---vip限免题目11~20

zhhhb1005的博客

04-03

2704

域名txt记录泄露提示：域名其实也可以隐藏信息，比如ctfshow.com 就隐藏了一条信息. 有一个工具在线域名解析记录检测这个我解析不出来看别人博客弄出来的敏感信息公布加上后缀/admin/，出现一个登录窗口用户名是admin；密码则是在网页中在网站下面发现一串数字，输入，登录后得出flag。内部技术文档泄露鼠标随便晃，发现下面有个东西可以点击打开后发现给出了具体步骤这个是在你自己的题目网址后面加上/system1103/login.php...

ctfshow做题记录（二）

qq_73975638的博客

04-10

726

题目中介绍了关于mdb文件的一些知识，于是想这这个题应该跟mdb文件有关，于是在网址后加上/db/db.mdb访问，下载下来一个mdb文件，用记事本打开后发现是一堆乱码，于是尝试搜索了一下ctf，找到了flag。打开题目后发现是一个登录页面，尝试了一下最普遍的账号admin，密码123456发现并没有啥用，于是就查看了源代码，在后面发现了账号密码，但是输入后还是显示密码错误，于是准备尝试一下用bp抓包。根据题目中所说，公开的信息可能会造成信息泄露，比如邮箱，然后确实在网页中找到了一个公开的QQ邮箱。

ctfshow-web入门-信息搜集（11）

2301_80281749的博客

10-20

333

2.我们在阿里云网站运维检测平台查询ctfshow.com域名的dns，于是就得到了flag：flag{just_seesee}

ctfshow-web入门-信息搜集（web11-web20）

Welcome To Myon'Blog !

06-02

2288

X探针：又名刘海探针、X-Prober，是一款由 INN STUDIO 原创主导开发的开源 PHP 探针，拥有美观简洁的界面、极高的运行效率和极低的资源占用，能高精度显示服务器的相应信息。php 探针：用来探测空间、服务器运行状况和 PHP 信息，探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。雅黑 php 探针：每秒更新，不用刷网页，适用于Linux系统，可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。

ctfshow