XCTF WEB backup

最新推荐文章于 2021-12-22 18:03:29 发布
原创 最新推荐文章于 2021-12-22 18:03:29 发布 · 269 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XCTF

本文介绍了如何使用Dirsearch工具扫描网站目录,寻找常见的备份文件,如.git, .svn, .swp等,并通过实例演示了如何定位并下载包含flag的备份文件。文章强调了正确配置和使用扫描工具的重要性。

在这里插入图片描述
不用多说,肯定是扫描后台,目录看看能不能找到备份文件,(可恶我的御剑的字典太菜了,居然爆破不出来),建议大家装御剑高一些的版本,或者用dirsearch来扫描,都是不错的。

这里插个知识点,备份文件常见的后缀名:.git .svn .swp .svn .~ .bak .bash_history

0x01:

开始启动dirsearch.py脚本,开始扫描
dirsearch的语法为:python dirsearch.py -u url -e* (-e是表示扫描哪种类型的文件)
在这里插入图片描述
在这里插入图片描述
它来了,我们想要的备份文件。url输入index.php.bak,会自动下载备份文件,里面有flag。
总结:后台扫描工具使用得当

「干货」XCTF Web安全入门练习靶场全部通关教程
橙留香Park的博客
04-13 7819
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球... ...
攻防世界XCTFweb入门题知识点、进阶提高题Writeup
AugenStern的博客
08-21 1240
WriteUpXCTF-Web新手入门区view_sourceget_postrobotsbackupcookiedisabled buttonsimple jsxff refererweak authwebshellcommand executionsimple_php高手进阶区 XCTF-Web 2016 年全国大学生信息安全竞赛开始设立创新实践技能赛,采取的就是传统的 CTF 赛制。在《2016年全国大学生信息安全竞赛参赛指南》中主办方给出的竞赛内容相对全面,值得参考。 系统安全。 涉及操作系统和
XCTFindex的备份文件
weixin_30713953的博客
06-11 284
https://www.4hou.com/technology/1958.html 转载于:https://www.cnblogs.com/-zhong/p/11001732.html
XCTF攻防世界web新手练习_ 2_backup
silence1_的博客
04-28 2442
XCTF攻防世界web新手练习—backup 题目 题目为backup,题目描述为 进入题目,看到 ,应该找到index.php的备份文件就能够找到flag 所以,首先尝试index.php.save 并无内容,再尝试index.php.bak 发现下载了一个.bak的文件,应该就是index.php备份文件了。打开它 得到flag! 有关备份文件 很多开发人员在编辑文件前,都会先进行一...
XCTF MISC 我们的秘密是绿色的
A_dmin的博客
06-08 6429
XCTF MISC Reverse-it 我们的秘密是绿色的 一天一道CTF题目,能多不能少 下载文件,发现是一张图片,看名字绿色,我还是以为是啥lsb隐写啥的,结果啥都没发现 仔细看题目我们的秘密,刚好有一款工具就叫做Our secret: 用工具打开,发现要密码,,,各种尝试,green,GREEN啊,,,, 最后发现图片上的日历有些数字颜色是绿色的!!! 输入密码:040511121819...
XCTF misc新手练习区_1-12
H4ppyD0g的博客
07-20 1322
this_is_flag 题目中的信息就是flag。 ———————————— ext3 解压后发现还有一个压缩包,再次解压,然后搜索flag.txt就能搜到,用base64解码得到flag。 ...
xctf web backup
rrorb的博客
12-22 240
跳转场景,得到如下界面。查看源代码也没有发现什么,尝试访问ur 添加/index.php, 跳转后页面没有发生变化,从题目下手,backup是备份文件,查查backup 常见的备份文件后缀名有.git.svn.swp.~.bak.bash_history 试试添加后缀,最后试到/index.php.bak,出现一个提示下载文件的弹窗,下载文件打开,得到flag ...
xctf_web区题解(入门区1--6)
HelloWorld's blog
12-13 2870
xctf_web区题解(新手区1—6) ps:说明一下,这次这个题解可能是比较是比较low的,因为前一段时间在玩学校的vhdl来实现eda的大作业,花了我一段比较长的时间,另外之前一段时间再刷密码学的相关知识,也没这么去了解这个web这个方向的,对于小组内的blog我也就只能写写题解了,以后可能做了一些项目会写一些其他有意思的东西 1.view_source 据题目描述,这道题的flag应该是在网页的源代码中的,但是鼠标右键点不了。那么这里有其他的解决方法,我在这里主要说两个解决方法:1.就是在网址上直接输
XCTF攻防世界web.doc
09-19
XCTF攻防世界Web WriteUp】 在网络安全竞赛中,CTF(Capture The Flag)是一种常见的形式,其中“XCTF攻防世界”是一个专注于Web安全的平台,旨在帮助参与者提升网络安全技能,特别是Web应用的安全防御和攻击能力...
XCTF Web 记录(ics-07)
ximo的博客
03-10 191
ics-07 打开页面: 直接就有view-source,打开,一共三部分: <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else
XCTF bug writeup
stepone4ward的博客
07-14 1507
文件上传绕过
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 986
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
XCTF(MISC) 坚持60s
YenKoc的博客
01-29 1373
题目描述:菜狗发现最近菜猫不爱理他,反而迷上了菜鸡 下载附件,发现是一个游戏,同时要玩到60s才能得到flag(可恶,完全玩不到60s,被疯狂嘲讽) —————————————————————————————————————————————————————— 打开反编译工具jd-ui,查找flag(因为过了60s,肯定有个弹窗,那么flag一定隐藏在某个地方) 提交flag发现不对,可能是...
XCTF MISC 如来十三掌
YenKoc的博客
01-28 1340
题目描述:菜狗为了打败菜猫,学了一套如来十三掌。 1.下载附件,看到一堆佛学的话,是与佛论禅的加密。打开加解密网站。 2.如来十三掌算是个提示,rot-13加密的。 3.BASE64解开 ...
XCTF(MISC) 图片隐写
YenKoc的博客
01-28 1307
题目描述:菜猫给了菜狗一张图,说图下面什么都没有 1.给了个pdf,打开是这玩意 2.盲猜flag是图片后面,右键直接删除图片试试。 答案出来了。
XCTF 进阶区 CAT
YenKoc的博客
12-05 1273
这题脑洞是真的大,讲道理 看到这个,先尝试了一下命令拼接,发现字符被过滤了应该。fuzz一下看看,有哪些字符还没被过滤了 import requests dictory=["!","@","#","$","%","^","&","*","(",")","[","]","?","<",">",",",".","/","'",":","|","\\","`",":"] sess...
XCTF Hello CTF
YenKoc的博客
01-15 1155
一.查壳 二.拖入ida x86静态分析 shift +F12找到字符串。 发现关键字please input your serial 点击进入 这是我们的主函数,F5反编译一下,看一下逻辑。 这里有几个函数,我也不懂啥意思,百度的. 1.qmemcpy(void *destin ,void *source):将source指针所指的值拷贝到destin中去 2.sprintf(char ...
xctf backup
最新发布
06-14
### XCTF备份方法与工具 XCTF(X-Code Technology Framework)通常指的是一个竞赛平台或技术框架,其备份方法和工具主要依赖于具体的实现环境。以下是几种常见的备份方法和工具,适用于XCTF或其他类似的技术框架。 #### 1. 数据库备份 在XCTF中,如果使用了数据库来存储用户信息、题目数据等关键内容,则可以采用以下数据库备份方法: - **mysqldump**:对于MySQL数据库,`mysqldump` 是一种常用的备份工具。它能够导出完整的SQL脚本,便于恢复和迁移[^2]。 ```bash mysqldump -u username -p database_name > backup.sql ``` - **pg_dump**:对于PostgreSQL数据库,`pg_dump` 提供了类似的备份功能[^3]。 ```bash pg_dump -U username -d database_name -f backup.sql ``` #### 2. 文件系统备份 XCTF的文件系统可能包含题目文件、日志文件和其他静态资源。这些文件可以通过以下工具进行备份: - **rsync**:用于同步本地或远程文件系统,支持增量备份,减少传输量[^4]。 ```bash rsync -avz /source/directory/ user@remote:/destination/directory/ ``` - **tar**:将文件打包并压缩为单个存档文件,方便存储和传输[^5]。 ```bash tar -czvf backup.tar.gz /path/to/files ``` #### 3. 容器化备份 如果XCTF运行在Docker容器中,可以使用以下方法备份容器状态: - **docker commit**:将当前容器的状态保存为镜像[^6]。 ```bash docker commit container_id new_image_name ``` - **docker save**:将镜像保存为可移植的归档文件[^7]。 ```bash docker save -o backup.tar new_image_name ``` #### 4. 配置文件备份 XCTF的配置文件通常包括服务启动参数、API密钥等敏感信息。可以使用Git等版本控制工具进行管理,并通过加密工具保护敏感数据[^8]。 - **git**:记录配置文件的历史变更,便于回滚和协作。 ```bash git add config_files git commit -m "Backup configuration" ``` - **gpg**:对配置文件进行加密存储,确保安全性[^9]。 ```bash gpg --output config.gpg --encrypt config.json ``` #### 5. 自动化备份工具 为了简化备份流程,可以使用以下自动化工具: - **cron**:在Linux系统中设置定时任务,定期执行备份脚本[^10]。 ```bash crontab -e # 添加如下行以每天凌晨2点执行备份 0 2 * * * /path/to/backup_script.sh ``` - **Ansible**:通过编写Playbook实现跨服务器的备份任务自动化[^11]。 ### 示例代码 以下是一个简单的Python脚本,用于备份XCTF的关键文件并上传到远程服务器: ```python import os import shutil import paramiko def backup_xctf(source_dir, target_dir): if not os.path.exists(target_dir): os.makedirs(target_dir) shutil.make_archive(os.path.join(target_dir, 'xctf_backup'), 'zip', source_dir) def upload_to_remote(local_file, remote_path, ssh_host, ssh_port, ssh_user, ssh_key): ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect(ssh_host, port=ssh_port, username=ssh_user, key_filename=ssh_key) sftp = ssh.open_sftp() sftp.put(local_file, remote_path) sftp.close() ssh.close() # 调用示例 backup_xctf('/var/xctf', '/tmp/backups') upload_to_remote('/tmp/backups/xctf_backup.zip', '/remote/backups/xctf_backup.zip', 'example.com', 22, 'user', '/path/to/key') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值