CTFshow 信息收集 web19

涉及到的相关知识： sql注入中的sprintf格式化字符串漏洞。 基于约束的sql注入攻击。 利用Burpsuite Fuzz实现sql注入

将趴桌子word后面的该为上一张图片中&p的值，因为后端的php代码它校验的是&p后端并没有进行解码操作，而是直接对比，这意味着只要我们发给后端的pazzword字段正好等于那串密文就可以了但是，如果你直接在输入框填入 a599ac...，前端的 JS 脚本会再次对这串密文进行加密，导致发给后端的数据变样。发现了密钥但是这个密码似乎是加密后的并且我不知道是哪种加密方式所以打开bp。用户名先填上admin密码随便填一个挂上代理开启抓包。最后放包回到靶场flag就出来了。并且提示告诉我们密钥就在前端。

web19 题目描述：密钥什么的，就不要放在前端了 打开题目是登录框，第一想法是去尝试了万能密码。但是没有成功。然后才回过头看题目描述是前端有密钥。所以就看源代码。 上面是加密方法，百度发现是前端AES加密。它会将用户输入的密码字符串进行加密。两种可行方法，第一种是解密，先百度，然后这样这样，再那样那样就解出来了。(没有使用这种)。第二种是抓包修改，绕过前端验证。将密钥修改为$p的字符串。发包得到flag web 7、8 题目描述：版本控制很重要，但不要部署到生产环境更重要。 版本信息部署到生产环境，两

CTFSHOW系列解题思路

CTF-show WEB入门--web19

CTFshow web16 web17 web18 web19 web20

本文介绍了PHP中GET/POST参数获取及AES加密解密的两种解题方法。首先说明了PHP变量的基本语法和GET/POST参数的获取方式，然后通过一个登录场景展示了两种解题思路：一是直接使用源码中提供的加密后密码进行POST提交，二是分析前端加密代码（AES-CBC模式，密钥0000000372619038，偏移量ilove36dverymuch）后解密出明文密码"i_want_a_36d_girl"。文章提供了使用Hackbar插件和Burpsuite工具的具体操作步骤，以及在线AES

web1 ctrl+u 查看源码 web2 在url前面加上view-source: web3 用burp抓包，查看返回的响应包，获取到flag web4 访问robots.txt,发现flag存放位置 访问即可拿到flag web5 phps文件泄露 访问index.phps，保存文件 打开文件获得flag web6 网站源码泄露 访问www.zip获取网站源码 解压缩获取flag web7 git源码泄露 访问.git/index.php,获得flag web8 svn泄

知识点总结： web11 域名txt记录泄露 web12 敏感信息公布 web13 内部技术文档泄露 web14 编辑器配置不当 web15 密码逻辑脆弱 web16 探针泄露 web17 CDN穿透 web18 js敏感信息泄露 web19 前端密钥泄露 web20 数据库恶意下载 题目web11web12web13web14web15web16web17web18web19web20 web11 题目提示：域名其实也可以隐藏信息，比如ctfshow.c

找到名为 flag 的 cookie，或者某个值可以 base64 解出 flag。使用开发者工具（F12）→ Network → 选中第一个请求 → Headers。找到源代码，查看敏感信息拿 flag（如 hardcoded flag）查看浏览器开发者工具 → Application → Cookies。文件中会提示一个隐藏目录，访问该目录即可看到 flag。有时 flag 会直接在 phpinfo 页面中显示。、空密码）解压，得到 flag.txt 或源码。查看页面源码（右键 → 查看页面源代码）

ctfshow信息收集部分全解

CTFShow-WEB入门篇--信息搜集详细Wp

符合新手阅读的wp。

ctfshow-信息收集

vim在编辑文件时,是在workbuffer中进行的,缓存中的信息有存放在.swp文件(原文件名加.swp结尾的文件),当连接异常断开,缓存中的信息丢失,但.swp文件依然存在,可以通过这个文件来进行数据恢复。robots.txt是爬虫界一个约定俗成的协议，里面限制了被爬虫爬取的范围，如果没有该文件说明所有内容都可被爬取。直接输入密文为密码时错的，抓包后密文会变成别的密文，再将密文重新修改成原来的密文即可。输入账号admin，密码为邮箱，可以看到密码错误，说明账号存在。访问后台地址并输入账号密码即可。

ctfshow,信息收集

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。

直接Ctrl+U查看源码即可。

ctfshow web1 web2 web3 web4 web5 web6 web7 web8 web9 web10 web11 web12 web13 web14 web15 web16 web17 web18 web19 web20