CTFSHOW-WEB入門 writeup
web1
題目: 開發註釋未及時刪除
解題思路: 右鍵檢視原始碼即可得到flag。
web2
題目: js前臺攔截 === 無效操作
解題思路: 火狐瀏覽器禁止JavaScript之後,右鍵檢視原始碼,得到flag。
web3
題目: 沒思路的時候抓個包看看,可能會有意外收穫
解題思路: burp抓包,檢視響應頭,得到flag。
web4
題目:
解題思路: 根據提示訪問http://a03708c9-ff09-457d-9688-676ccb7997ce.chall.ctf.show/robots.txt 。得到提示資訊,flagishere.txt,
訪問http://a03708c9-ff09-457d-9688-676ccb7997ce.chall.ctf.show/flagishere.txt 。得到flag。
web5
題目: phps原始碼洩露有時候能幫上忙
解題思路: 根據提示,訪問index.phps,將檔案下載下來,開啟即可看到flag。
web6
題目: 解壓原始碼到當前目錄,測試正常,收工
解題思路: 訪問www.zip ,下載原始碼,檢視index.php內容,發現flag在fl000g.txt中,這裡注意壓縮包裡fl000g.txt中的flag不正確,應該訪問題目環境中的fl000g.txt 。
web7
題目: 版本控制很重要,但不要部署到生產環境更重要。
解題思路: 根據提示版本控制,想到常用的版本控制工具git,svn,嘗試訪問.git和.svn,在.git中發現flag。
web8
題目: 版本控制很重要,但不要部署到生產環境更重要。
解題思路: 上一題訪問.git得到flag,這一題首先想到.svn,果然得到flag。
web9
題目: 發現網頁有個錯別字?趕緊在生產環境vim改下,不好,當機了
解題思路: 提示vim異常關閉,想到linux下vi/vim異常關閉是會存留.swp檔案,嘗試訪問index.php.swp,得到flag。
web10
題目: cookie 只是一塊餅乾,不能存放任何隱私資料
解題思路: 檢視網頁的cookie發現flag。
web11
題目: 域名其實也可以隱藏資訊,比如ctfshow.com 就隱藏了一條資訊
解題思路: 在域名解析查詢網站查詢,http://dbcha.com/ ,逐個嘗試,在Txt中發現flag。
web12
題目: 有時候網站上的公開資訊,就是管理員常用密碼
解題思路: 訪問後臺,http://a811a9ef-0d5c-45d8-8162-e98e26a7d3e9.chall.ctf.show/admin/ ,提示登入,猜想使用者名稱為admin,密碼應該在網站中,觀察到頁面底部有“Help Line Number : 372619038”,嘗試輸入數字,成功登入,得到flag。
web13
題目: 技術文件裡面不要出現敏感資訊,部署到生產環境後及時修改預設密碼
解題思路: 在網站中尋找技術文件(檢視原始碼尋找較為方便),在底部找到document,點選即可檢視到預設使用者名稱,密碼,訪問http://299bf98c-7cb9-4bdc-826d-c25a285a61df.chall.ctf.show/system1103/login.php 。輸入使用者名稱和密碼,即可得到flag。
web14
題目: 有時候原始碼裡面就能不經意間洩露重要(editor)的資訊,預設配置害死
解題思路: 根據提示訪問editor,出現文字編輯器,點選圖片,
可以看到檔案目錄,/var/www/html/nothinghere 中有一個fl000g.txt,訪問 http://6ce4a2ea-ac6a-4c12-84fa-40a347055991.chall.ctf.show/nothinghere/fl000g.txt 得到flag。
web15
題目: 公開的資訊比如郵箱,可能造成資訊洩露,產生嚴重後果
解題思路: 在網站底部發現一個qq郵箱,訪問後臺,發現可以有忘記密碼選項,點選,密保問題是所在地城市,查詢qq所在地為西安,輸入,返回修改後的密碼,登入即可得到flag。
web16
題目: 對於測試用的探針,使用完畢後要及時刪除,可能會造成資訊洩露
解題思路: 提到探針,就想到雅黑探針,訪問/tz.php,點選PHP引數,
點選下圖紅框中文字
跳轉到網站的phpinfo頁面,在頁面搜尋flag,即可找到flag。(關於php探針的內容可參考https://blog.csdn.net/weixin_43790779/article/details/108834213
)
web17
題目: 透過重重快取,查詢到ctfer.com的真實IP,提交flag{IP地址}
解題思路: https://icplishi.com 查詢www.ctfer.com 的IP地址,得到IP地址即為flag。
web18
題目: 不要著急,休息,休息一會兒,玩101分給你flag
解題思路: 檢視網頁原始碼,發現Flappy_js.js檔案,訪問可看到
if(score>100)
{
var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");
}
else
{
var result=window.confirm("GAMEOVER\n是否從新開始");
if(result){
location.reload();}
}
將\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b
進行Unicode解碼得到 “你贏了,去么么零點皮愛吃皮看看”。訪問110.php得到flag。
web19
題目: 金鑰什麼的,就不要放在前端了
解題思路: 檢視頁面原始碼,發現一段註釋程式碼,程式碼中已經給出了使用者名稱和密碼,但是若有表單提交密碼就會被加密,所以用hackbar工具,POSTA提交username=admin&pazzword=a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04
,得到flag。
相關文章
- CTFshow-web入門(1-20)-資訊蒐集Web
- SSCTF Writeup
- JCTF Writeup
- BCTF Writeup
- HCTF writeup(web)Web
- wargame narnia writeupGAM
- 太湖杯writeup
- 入門入門入門 MySQL命名行MySql
- Alictf2014 WriteupTF2
- Wargama-leviathan WriteupGAM
- 0ctf writeup
- 360hackgame writeupGAM
- 三道MISC的writeup
- Hack.lu 2014 Writeup
- xss挑戰賽writeup
- CTF——WriteUp(2020招新)
- guestbook(hackme web部分writeup)Web
- web_ping的writeupWeb
- 何入CTF的“門”?——所謂入門就是入門
- 如何入CTF的“門”?——所謂入門就是入門
- gRPC(二)入門:Protobuf入門RPC
- makefile從入門到入門
- scala 從入門到入門+
- CoolShell解密遊戲的WriteUp解密遊戲
- 2020湖湘杯部分writeup
- Android入門教程 | RecyclerView使用入門AndroidView
- 【小入門】react極簡入門React
- Android入門教程 | Kotlin協程入門AndroidKotlin
- 《Flutter 入門經典》之“Flutter 入門 ”Flutter
- 新手入門,webpack入門詳細教程Web
- Web_Bugku_WriteUp | 變數1Web變數
- CTF-safer-than-rot13-writeup
- cmseasy&內網滲透 Writeup內網
- MyBatis從入門到精通(一):MyBatis入門MyBatis
- jupyter 入門
- Poetry 入門
- Servlet入門Servlet
- CSS入門CSS