CTF Show: 编程学习 - 信息收集篇

最新推荐文章于 2025-10-23 15:23:39 发布

编码先锋

最新推荐文章于 2025-10-23 15:23:39 发布

阅读量113

点赞数

CC 4.0 BY-SA版权

文章标签：学习网络编程学习

本文链接：https://blog.youkuaiyun.com/syntax_loop446/article/details/133334452

编程学习专栏收录该内容

163 篇文章 ¥59.90 ¥99.00

订阅专栏

本文探讨了CTF比赛中信息收集的重要性，包括域名解析、Whois查询、端口扫描和Web页面抓取。通过Python编程示例，介绍了如何使用相关模块执行这些操作，以获取目标系统的关键信息，为后续的漏洞利用和权限提升做准备。同时强调在进行信息收集时需遵守法律和规定。

在CTF（Capture The Flag）比赛中，信息收集是一个关键的阶段，它涉及到获取目标系统的关键信息，以便在比赛中发现漏洞和获得进一步的权限。本文将介绍一些常用的编程技术和源代码，帮助您在信息收集阶段取得成功。

域名解析

域名解析是在信息收集中的第一步，它允许我们将域名映射到相应的IP地址。在Python中，我们可以使用socket模块来执行域名解析操作。

import socket

def get_ip_address(domain):
    try:
        ip_address = socket.gethostbyname(domain

了解本专栏

订阅专栏解锁全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

编码先锋

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

订阅专栏

[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结

杨秀璋的专栏

06-09

1万+

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了WHUCTF隐写和逆向题目，包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目，包括CSS注入、越权、csrf-token窃取及CSP绕过，同时总结XSS绕过知识，希望对您有所帮助。第一次参加CTF，还是学到了很多东西。人生路上，要珍惜好每一天与家人陪伴的日子。感谢武汉大学，感谢这些大佬和师傅们（尤其出题和解题的老师们）~

2024年网安最新ctfshow-WEB-web6_ctf(1)

2401_84297899的博客

05-03

1315

ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库是web2。

参与评论您还未登录，请先登录后发表或查看评论

WEB ---- ctfshow ----- 信息收集

L0g1c的博客

06-24

928

考点是robots.txt文件、考点phps文件泄露、考察代码泄露、考察git代码泄露、考察信息svn泄露、考察vim缓存信息泄露、邮箱泄露、考察PHP探针、sql文件泄露信息第一题提示开发注释未及时删除打开题目没有什么按钮和输入框，直接查看源码，发现html注释中含有flag。由于js前台拦截，无法右键，和按F12可以手动在URL前面加入还有其他方法：打开浏览器的应用程序菜单知道快捷键就不需要进行查找了方法一：通过快捷键查看源码方法二：通过快捷键查看源码方法三：开发者工具中网络，响应中也可以

ctfshow信息收集(web1-web20)

m0_72125469的博客

01-20

1411

ctfshow web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20

CTFshow 信息收集

最新发布

10-23

267

这篇CTF解题笔记记录了从web1到web20的解题思路和关键发现。主要涉及信息收集技巧，包括查看源码注释、响应头、robots.txt、版本控制文件(.git/.svn)、vim交换文件、cookie信息、DNS解析记录、社工信息等。还展示了扫描目录、解密js代码、AES解密等专业技术手段，以及利用php探针、敏感备份文件等漏洞获取flag的方法。整体呈现了CTF比赛中常见的信息收集和漏洞利用技巧。

ctf.show之信息搜集

weixin_68477635的博客

09-24

555

way1: view-source是一种协议，早期基本上每个浏览器都支持这个协议。如果要在IE下查看源代码,只能使用查看中的"查看源代码"命令.以前的使用方法：在浏览器地址栏中输入 view-source: sURL。这题是phps源代码泄露，因为phps即可看源代码，则我们访问index.php,最后把文件下载出来并查看即可得到ctfshow。如上图所示，打开F12,再点击Network，可能没有内容，那么我们点击网页左上角刷新按钮，就有了响应头。way2:Ctrl+U 查看当前网页的源代码。

CTFshow----信息收集

m0_53244777的博客

10-11

238

ctfshow

CTFshow_信息收集

qq_45927819的博客

11-11

475

文章目录web1web2web3web4web5web6web7web8web9web10web11 web1 直接查看源代码就可以看到flag web2 无法直接查看源代码了在url前加上view-source: flag就在源代码中 web3 同样看不到源码，根据提示那就抓个包出flag： web4 robots协议也叫robots.txt（统一小写）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的

CTF-WEB入门DOC-2019版1

08-03

2. 靶场：如BUUOJ、南邮0xCTF、CTF.show、CTFhub、BugKuCTF、攻防世界等，提供实践环境。 3. 学习平台：CTF-Wiki-Web、dalao们的博客、先知社区、freebuf、安全客等。 4. 书籍：《白帽子讲Web安全》、《Web安全攻防...

ctf.show-web-1000题

weixin_46079186的博客

12-07

6161

信息收集爆破命令执行文件包含 php特性文件上传 sql注入反序列化 java 代码审计 phpCVE XSS nodejs jwt SSRF SSTI XXE 区块链安全黑盒测试

ctfshow-信息收集

m0_72898152的博客

02-22

1217

ctfshow,信息收集

CTFSHOW-信息收集

Monica的博客

08-06

657

目录 WEB1 WEB2 WEB3 WEB4 WEB5 WEB6 WEB7 WEB8 WEB9 WEB10 WEB11 WEB12 WEB13 WEB14 WEB15 WEB16 WEB17 WEB18 WEB19 WEB20 WEB1 考点：开发注释未及时删除方法：查看网页源代码 WEB2 考点：js前台拦截（无效操作）右键无法使用知识点：view-source是一种协议，早期基本上每个浏览器都支持这个协议。后来Microso..

ctfshow信息收集

Vincent0sen的博客

06-13

841

ctfshow之web入门，信息收集1-20

CTFshow 信息搜集

zyw268的博客

05-13

1064

目录扫描发现有admin这个路径进入后发现是一个登录界面用户名尝试admin 点击忘记密码发现密保是他所在的城市想到之前的那个qq邮箱添加他发现是西安的输入西安成功重置密码登录进去获得flag。index.php和fl000g.txt都没有flag 联想到fl000g.txt内容flag here 进入fl000g.txt成功获得flag。提示了phps源码泄露用目录扫描工具没扫出来看wp 发现有index.phps这个路径进入路径自动下载用notepad++打开获得flag。

ctfshow.信息搜集

AiYjyJyj的博客

07-28

837

先用dirsearch扫描，发现一个/robots.txt文件，直接访问，得到/admin/，后直接访问，得到flag，用户名admin，密码为372619038。扫描后访问/admin/index.php，是一个登录框，选择忘记密码，根据QQ号得知位置在西安，重置密码，得到flag。20.先用dirsearch扫描，访问/db/，无果，后根据提示是mdb文件，直接访问/db/db.mdb，得到flag。查看源代码，发现js，接着访问，看到一段Unicode编码，解码，得到提示。

ctfshow 信息收集篇(WEB1~WEB20)

y4615184的博客

04-25

439

温故知新，复盘时应去尝试不同方法，弄懂原理！ WEB 1 . 查看源码应是本能，F12 WEB 2 根据提示，有JS屏蔽，测试右键和F12无法使用，那么使用view-source:url查看源码 view-source是一种协议，早期基本上每个浏览器都支持这个协议。后来Microsoft考虑安全性，对于WindowsXP pack2以及更高版本以后IE就不再支持此协议。但是这个方法在FireFox和Chrome浏览器都还可以使用。如果要在IE下查看源代码,只能使用查看中的"查看源代

CTFSHOW-信息搜集

Yb_140的博客

04-06

3150

web1 右击查看源代码即可 web2 火狐浏览器 web3 通过查看器未发现有用信息接下来我们查看源代码，发现无法查看我们使用Burp抓取页面并且发送到Repeater 发现Flag 提交即可 web4 题目提示查看robots Robots协议（也称爬虫协议，机器人协议等）的全称是“网络爬虫排除协议”，网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。构造/robots.txt 然后访问/flagish...

ctfshow 信息收集（1-20）

m0_74402888的博客

07-16

1465

知识点：php探针是用来探测空间、服务器运行状况和PHP信息用的，探针可以实时查看服务器硬盘资源、内存占用、网卡流量、系统负载、服务器时间等信息。输入URL/tz.php 即可打开雅黑PHP探针。默认后台地址：http://your-domain/system1103/login.php。mdb文件是早期asp+access构架的数据库文件，文件泄露相当于数据库被脱裤了。题目描述：“对于测试用的探针，使用完毕后要及时删除，可能会造成信息泄露”，直接访问url/index.php.swp。

CTFSHOW~信息收集（10~20）

ing_end的博客

01-28

2327

WEB~10 题目：cookie 只是一块饼干，不能存放任何隐私数据我们直接查看cookies 使用burp进行url解码 WEB~11 根据提示解析域名 WEB~12 题目：有时候网站上的公开信息，就是管理员常用密码我们访问url/admin页面，得到flag Admin是什么 admin是administer的缩写，也就是说，它是一个管理员账号，对于每一台电脑ip来说，...

CTF挑战：WP1-ctfshow解题攻略

这篇文章主要介绍了CTF（Capture The Flag）比赛中的若干种解题技巧，特别是针对网络安全和Web安全领域的一些基本技术。CTF比赛通常涉及网络安全、逆向工程、密码学等多个领域，而这里的讨论集中在Web渗透测试上。 ...