ctf练习之试下phpinfo吧

最新推荐文章于 2025-10-01 08:30:46 发布

原创最新推荐文章于 2025-10-01 08:30:46 发布 · 1.2k 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

ctf 专栏收录该内容

15 篇文章

订阅专栏

本文介绍了一种通过文件包含漏洞获取敏感信息的方法。首先，进入目标站点并检查网页源码，确认存在文件包含漏洞。随后，通过测试lang参数，成功触发phpinfo页面，进一步在页面中搜索关键词“flag”，最终定位并获取到flag。

一、进入目标站点，查看网页源码，大概率是一个文件包含的漏洞。

在这里插入图片描述

二、测试lang参数，在lang=…/phpinfo.php时，成功回显信息，在该文件中ctrl+f查找flag，发现flag。

在这里插入图片描述

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

黎明的影

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

phpinfo.php ctf,这你不是你所常见的PHP文件包含漏洞（利用phpinfo）

weixin_29352517的博客

03-10

1059

0x01 前言看到文件包含(+phpinfo ) 的问题，在上次众测中出现此题目，如果没打过CTF，可能真的很少见到这种问题，当然作为小白的我，也是很少遇到，毕竟都是第一次，那就来总结一波经验和操作，附赠EXP，借鉴网上大佬环境，进一步进行探索。0x02 漏洞环境执行如下命令启动环境：docker-compose up -d目标环境是官方最新版PHP7.2，说明该漏洞与PHP版本无关。环境启动后，...

CTF(phpinfo)---使用封装协议读取PHP协议

千寻的博客

12-14

3415

文章目录知识点---文件包含---使用php封装协议方法---使用封装协议读取PHP文件访问封装协议Ctf案例第一步访问ctf地址第二步发现Phoinfo,并且是path=,考虑文件上传漏洞![在这里插入图片描述](https://img-blog.csdnimg.cn/20201214191636139.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ub

参与评论您还未登录，请先登录后发表或查看评论

CTFHub 信息泄露通关笔记2：PHPINFO泄露

最新发布

mooyuan的网络安全博客

10-01

1116

本文分析了PHPINFO泄露的安全风险及实战渗透过程。phpinfo()函数会输出PHP环境的详细配置信息，包括系统路径、环境变量等敏感数据。开发者常因调试后未删除临时文件导致该风险。攻击者利用这些信息可实施进一步渗透。文中演示了通过靶场环境访问phpinfo页面，搜索关键词获取flag值的完整渗透流程，强调了及时清理调试文件的重要性。该风险危害严重，需加强开发运维规范以避免信息泄露。

漏洞扫描_CTFHub

FCL_K_Sir的博客

04-26

896

一、CTF 基础知识二、Web_信息泄露

ctfPHPINFO

plant1234的博客

03-30

341

PHPINFO: 根据题目启动环境得到：点击查看在环境配置中找到flag:

CTFHub | PHPINFO

尼泊罗河伯的博客

10-03

2413

因为这题没有过多的提示，只是说明了 phpinfo ，点击查看页面发现 phpinfo 测试页面。原以为这题是一道大题，需要利用信息泄露找到跳转页面什么的。测试了好久都是 not found ，最后在接近网页末尾才发现一个名称为 ctfhub ，这才发现了此题 flag 居然隐藏在测试页面中。

ctf技能树练习信息泄露：

2401_88267631的博客

12-02

1162

通过判断类型，添加相应的后缀，查看源代码，获取flag。

渗透测试练习题解析 5（CTF web）

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

04-01

1394

所以要实现劫持就要时我们上传的恶意程序先执行。环境变量。

从零开始学CTF（第十五期）

2501_90727259的博客

07-12

2731

摘要： CTFWeb安全实验环境是提升技术能力的关键工具，本文系统介绍了从基础到实战的环境搭建方法。内容涵盖：1）虚拟机选择与基础Web服务部署（Apache/Nginx、MySQL/PHP）；2）单一漏洞环境搭建（SQL注入、XSS、文件上传）；3）综合漏洞链场景构建（SSRF+内网渗透、逻辑漏洞）；4）进阶优化（WAF绕过、Docker容器化）。通过真实漏洞模拟、隔离网络配置和工具集成，帮助学习者循序渐进掌握Web安全攻防技能，并支持CTF题目复现与自定义开发，为竞赛和实战提供有效训练平台。

CTF练习用简易Web源码环境搭建指南

资源摘要信息:"一套简单的ctf_web源码环境.zip" 知识点1: CTF（Capture The Flag）竞赛 CTF（Capture The Flag）是一种信息安全竞赛，通常包括多种类型的信息安全挑战。在CTF Web题目中，参赛者需要利用Web技术或...

CTFHub每日练习

Chandra的学习之路

11-14

833

1、临时文件：swap文件（.swp后缀的文件），在编辑文件时产生，它是隐藏文件，如：编辑读取的原文件为index.php，则它的临时文件为index.php.swp；当开发人员在线上环境中使用 vim 编辑器，在使用过程中会留下 vim 编辑器缓存，当vim异常退出时，缓存会一直留在服务器上，引起网站源码泄露。浏览器中获取文件资源，如果该文件为隐藏文件，需要在文件名前加“.”，如/index.php.swp，应该为/.index.php.swp。当前大量开发人员使用git进行版本控制，对站点自动部署。

那些年踏过的CTF坑--phpinfo~(二)

u011215939的博客

01-19

4976

曾经学过文件包含，但是没有运用过，今天刚刚好遇到CTF内容为文件包含，可以实践一下来，访问IP：http://106.75.86.18:8888 初步查看URL:http://106.75.86.18:8888/index.php?path=phpinfo.php，path这是文件包含的所特有的，既然给我phpinfo那么就先看看给我们的信息： ubuntu的系统，文件

ctf-试下phpinfo吧（别忘了测试目录穿越漏洞）

qq_29566629的博客

02-10

773

题目：搞得还挺浪漫知识点：在测试过常规的操作之后，别忘了还有目录穿越，这个要多试几次。

CTF中phpinfo应注意什么

qq_45891669的博客

10-04

2070

phpinfo应注意什么 1.allow_url_fopen和allow_url_include 这个配置选项可以知道在PHP文件包含中可以使用哪些伪协议 2.PHP版本 3.open_basedir 这个配置选项可以知道PHP将访问目录限制在哪个目录下 4.disable_functions 可以在命令执行的时候，看那些函数被禁了 5.session session.save_path：session的上传目录在linux系统中，session文件一般保存在以下几个目录： /var/

CTFHUB 信息泄露 -phpinfo

weixin_52241647的博客

12-16

804

例如，一些简单的网站可能会将包含 phpinfo 函数的文件命名为 “phpinfo.php” 或 “test.php”（其中包含 phpinfo 函数）等，攻击者会尝试访问这些可能的文件名组合。当访问到一个存在 phpinfo 源码泄露的页面时，会看到一个包含大量表格的页面，详细地展示了 PHP 的各种信息，如 “PHP Version”（PHP 版本）列显示当前服务器上 PHP 的版本号，“Loaded Modules”（已加载模块）列展示了服务器上已经加载的 PHP 扩展等信息。

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

2305

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

CTF中怎么看phpinfo

weixin_33828101的博客

05-04

1161

CTF中怎么看phpinfo 在比赛中经常遇到phpinfo，这个页面可以看到很多配置信息，我们需要在这么多信息中，着重看一下几个内容：1、allow_url_fopen和allow_url_include其中配置作用是这样的: allow_url_fopen=On(允许打开URL文件,预设启用) allow_url_fopen=Off(禁止打开URL文件) allow_ur...

CTFHUB-web-信息泄露-PHPINFO

sev1n的博客

02-28

1584

CTFHUB-web-信息泄露-PHPINFO

ctfhub技能树信息泄露目录遍历 PHPINFO 备份文件下载

winofkill的博客

12-01

2418

首先进入题目进去后会发现是一个目录表目录是index of/flag_in_here,可以知道flag就在这四个文件夹当中于是我们就在文件夹当中寻找最后在3/4里找到了flag。当然还可以用编写脚本的方法来自动遍历目录，但对python不是很了解就先这样。 ...

部署CTF练习环境librectf-develop.zip

开发者或使用者需要将其部署在一台服务器上，完成必要的配置和安装步骤后，练习环境即可为用户提供一个模拟的CTF竞赛场景，用于日常练习或团队训练。由于文件名称列表中只有一个文件名"librectf-develop"，这意味...