上一页 1 ··· 4 5 6 7 8 9 10 11 下一页
2020年3月7日
ctfhub技能树—信息泄露—备份文件下载—.DS_Store
摘要: 打开靶机 查看页面信息 使用dirsearch进行扫描 访问该网页,下载文件 使用Linux系统打开文件 发现一个特殊文件,使用浏览器打开 拿到flag 二、使用Python-dsstore工具查看该文件 下载地址 https://github.com/gehaxelt/Python-dsstore 阅读全文
posted @ 2020-03-07 13:32 anweilx 阅读(5214) 评论(0) 推荐(1) 编辑
ctfhub技能树—信息泄露—备份文件下载—vim缓存
摘要: 打开靶机 查看页面信息 在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容 以 index.php 为例:第一次产生的交换文件名为 .index.php.swp 再次意外退出后,将会产生名为 .index.p 阅读全文
posted @ 2020-03-07 13:31 anweilx 阅读(3458) 评论(1) 推荐(2) 编辑
2020年3月6日
ctfhub技能树—信息泄露—备份文件下载—bak文件
摘要: 打开靶机 查看页面信息 继续使用dirsearch进行扫描 python3 dirsearch.py -u http://challenge-d4234042e1d43e96.sandbox.ctfhub.com:10080/ -e * 找到了需要的文件,浏览器访问 下载完成后打开 拿到flag 阅读全文
posted @ 2020-03-06 18:46 anweilx 阅读(2307) 评论(1) 推荐(0) 编辑
2020年3月5日
ctfhub技能树—信息泄露—备份文件下载—网站源码
摘要: 打开靶机 查看网页内容 使用dirsearch进行扫描 命令如下 python3 dirsearch.py -u http://challenge-91f1f5e6a791ab02.sandbox.ctfhub.com:10080/ -e * 找到目标路径 访问如下地址,即可下载网站源码 http: 阅读全文
posted @ 2020-03-05 14:51 anweilx 阅读(4760) 评论(0) 推荐(0) 编辑
ctfhub技能树—信息泄露—PHPINFO
摘要: 打开靶机 查看页面,是PHP info界面 只有这一个页面,查找一下有没有flag 拿到flag 浅谈ctf中phpinfo需要关注的点(转自先知社区) 1 https://xz.aliyun.com/t/6131 首先我们先谈谈 php各个版本的的差异 php5.2以前 __autoload()加 阅读全文
posted @ 2020-03-05 14:34 anweilx 阅读(3197) 评论(0) 推荐(0) 编辑
ctfhub技能树—信息泄露—目录遍历
摘要: 打开靶机 查看页面 点击后发现几个目录 于是开始查找 在2/1目录下发现flag.txt 成功拿到flag 练习一下最近学习的requests库 附上源码 #! /usr/bin/env python # _*_ coding:utf-8 _*_ import requests url = "htt 阅读全文
posted @ 2020-03-05 14:23 anweilx 阅读(2938) 评论(0) 推荐(0) 编辑
2020年3月4日
ctfhub技能树—web前置技能—http协议—响应包源代码
摘要: 打开靶机环境 查看网页是一个贪吃蛇小游戏 根据提示查看源码 发现flag 至此HTTP协议结束 阅读全文
posted @ 2020-03-04 18:29 anweilx 阅读(1239) 评论(0) 推荐(0) 编辑
ctfhub技能树—web前置技能—http协议—基础认证
摘要: 打开靶机环境 下载附件后发现是常用密码字典,于是考虑本题可能是考察密码爆破 打开环境 发现需要认证,于是考虑使用暴力破解 使用burpsuite抓包,查看 发现最下面一行有加密后的密文 使用base64解码 发现是刚刚输入用于验证的账号密码 于是使用脚本把密码进行加密 附上脚本 #! /usr/bi 阅读全文
posted @ 2020-03-04 18:27 anweilx 阅读(4121) 评论(3) 推荐(1) 编辑
Linux—curl命令讲解
摘要: 命令:curl 在Linux中curl是一个利用URL规则在命令行下工作的文件传输工具,可以说是一款很强大的http命令行工具。它支持文件的上传和下载,是综合传输工具,但按传统,习惯称url为下载工具。 1 使用方法:#curl [option] [url] 常见参数讲解: -A/--user-ag 阅读全文
posted @ 2020-03-04 13:46 anweilx 阅读(607) 评论(0) 推荐(0) 编辑
ctfhub技能树—web前置技能—http协议—Cookie
摘要: 打开靶机环境 查看显示内容 根据提示,需要admin登录才能得到flag 题目介绍为Cookie欺骗、认证、伪造 介绍一下cookie和session 一、cookie: 在网站中,http请求是无状态的。也就是说即使第一次和服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户 阅读全文
posted @ 2020-03-04 13:43 anweilx 阅读(1274) 评论(2) 推荐(0) 编辑
上一页 1 ··· 4 5 6 7 8 9 10 11 下一页