本文档记录了ctfshow的web入门挑战,涉及信息搜集技巧,如使用F12、查看网页源代码、Burp抓包、扫描隐藏目录(如/.git/、/.svn/等)、寻找编译器漏洞、探测默认密码和利用php探针等。作者通过解决各个web题目,揭示了常见的安全问题,如敏感信息泄露、默认配置未修改、邮箱安全和数据库访问等。
开了ctfshow的web入门开始刷题
web1
F12
web2
先打开F12,再复制容器网址
官方wp:view-source:
web3
burp抓包
web4-6 略
需要设置延时扫
web7
/.git/
web8
/.svn/
web9
/index.php.swp
web10-11 略
web12
web13
题干:技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码
Web14
编译器漏洞,听闻过以前这种漏洞很多
查看源文件" <img src="editor/upload/banner-app.png" alt="App">"
存在这样一个路径访问/editor/
插入文件——文件空间里找到flag
web15
按照提示完成的
访问/admin页面 发现有一个忘记密码操作,需要输入地址 在主页面下面看到QQ邮箱,通过QQ号查询邮箱,是西安的 修改密码成功,用户名 admin 登录成功获得flag
web16
php探针-phpinfo
web17
扫目录获得
backup.sql
web18
if(score>100)
{
var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");
}
得到110.php
web19
查看源码
web20
扫描后台,下载到数据库。打开即可
flag{ctfshow_old_database}
扫一扫
552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
