m0_73981089的博客

正则匹配，过滤flag，可以使用通配符绕过先查看目录使用通配符？查看flag点击查看源代码。

在修改编码方式，可以查看原来的抓包会把我们所发的用户名 :密码base64编码。我们先抓包，把表格上的信息输进去，由于我们不知道身份证，所以我们选择。域名失效了，扩展域名，搜索域名可以在鹰图、fofa上进行信息收集。平常查看源代码等步骤不行，但是发现了这个两个目录，会不会二进制🤔。点击录取名单，下载一个表格，再点击查询系统，突破口就来了。/6/1/，也是这种情况，所以能猜到大概是目录。而题目只给了我们后台密码的字典，所以我们。，找到最长或者最短的响应包，拿到flag。用户名，没有提示，习惯用admin。

CTFshow 【 WEB入门】、【VIP限免】web1 ----源码泄露web2----前台JS绕过web3----协议头信息泄露web4----robots后台泄露web5----phps源码泄露web6----源码压缩包泄露web7----版本控制泄露源码web8----版本控制泄露源码2web9----vim临时文件泄露web10----cookie泄露web11----域名txt记录泄露web12-----敏感信息公布web13----内部技术文档泄露........