信息泄露
目錄歷遍
直接找就行。。。
PHPINFO
進去直接 ctrl+f 搜flag就行。。。
備份文件下載
網站源碼
提示一些相關的名字
可以寫個簡單的腳本爆破一下 當然也可以 dirsearch 直接掃
import requests
url = "http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/"
a = ['web','website','backup','back','www','wwwroot','temp']
b = ['tar','tar.gz','zip','rar']
for i in a:
for j in b:
pos = url + i + '.' + j
r = requests.get(pos)
print(i)
print(j)
print(r)
獲得源碼解壓後有個 flag.txt 但是裏面不是flag 還有個奇怪的 50x.html 嘗試直接訪問這個奇怪的 html 沒用 直接訪問這個 flag.txt 就出了
bak文件
看到題目就下意識 備份文件後綴是 .bak (linux命名的習慣)
打開網頁 提示flag在 flag.php 裏 加上後綴 down 下文件 flag就在裏面
vim緩存
又是考常識吧 linux下vim的緩存文件後綴是 .tmp 而且是隱藏文件 有個 . 的前綴
把下下來的文件放l inux 讀緩存就行了
.DS_Store
.DS_Store 是macos系統下的包含文件目錄的文件
下載文件並用腳本分析 然後到靶機打開這個目錄就行
Git泄露
真的不知道爲什麼 不管是 win 還是 linux 都沒反應 重裝了也不行
Log
Stash
Index
SVN泄露
使用 dvcs-ripper 工具中的 rip-svn.pl 腳本
腳本使用過程可能會遇到下面類似的很長的報錯
install_driver(SQLite) failed: Can’t locate DBD/SQLite.pm
解決方法 強烈建議開靶機前解決這個問題 不然很可能需要多花金幣續費靶機
HG泄露
還是上一個腳本庫裏的 rip-hg.pl
#一定要加 -v 不然 down 不下來的
./rip-hg.pl -v -u http://challenge-365f72206c2c35b5.sandbox.ctfhub.com:10080/.hg/
然後就是文件夾裏一頓瘋找 但是什麼都找不到 但是很多個文件 裏面都有關於 flag.txt 的
看到這個就很清楚了 直接訪問這個 flag.txt
密碼口令
弱口令
第一次開靶機真的沒有爆出來 真的鬱悶 密碼是隨機的
默認口令
沒有用戶名會提醒沒有用戶名 篩選用戶名 選擇對應口令就可以
SQL注入
SQL 整數型注入
id從3開始就沒有回顯 可以在3以後的數注
注得數據庫結構如下
- sqli
- news
- id //1,2,114514
- data //ctfhub,skill,sqli
- flag
- flag
- news
SQL字符型注入
數據庫還是跟上一題一樣 就是搜索方式 從數字變成字符 閉合一下前面的引號就可以了 本題不再贅述
理論上來說你可以直接注 flag 表裏的 flag 字段(我就是這麼做的 太懶了)
SQL報錯注入
updatexml 最長顯示32位數 這題不能用
使用
1 Union select count(*),concat(database(),0x26,floor(rand(0)*2))x from information_schema.columns group by x;
文件上傳
無驗證
傳個馬上去
蟻劍連上去
找到flag
前端驗證
php改名字前端上傳 抓包改回php 一樣的操作連蟻劍 取flag
文件頭檢查
畫圖軟件隨便弄個圖 抓包最後加上馬 然後改名 php 蟻劍連上就行
