[wp]ctfshow-web入门信息搜集

最新推荐文章于 2025-04-18 18:43:44 发布

原创最新推荐文章于 2025-04-18 18:43:44 发布 · 1k 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#php #数据库 #安全

ctf刷题专栏收录该内容

14 篇文章

订阅专栏

本文档记录了ctfshow的web入门挑战，涉及信息搜集技巧，如使用F12、查看网页源代码、Burp抓包、扫描隐藏目录（如/.git/、/.svn/等）、寻找编译器漏洞、探测默认密码和利用php探针等。作者通过解决各个web题目，揭示了常见的安全问题，如敏感信息泄露、默认配置未修改、邮箱安全和数据库访问等。

开了ctfshow的web入门开始刷题

web1

F12

web2

先打开F12，再复制容器网址
官方wp:view-source:

web3

burp抓包

web4-6 略

需要设置延时扫

web7

/.git/

web8

/.svn/

web9

/index.php.swp

web10-11 略

web12

在这里插入图片描述

web13

题干：技术文档里面不要出现敏感信息，部署到生产环境后及时修改默认密码
在这里插入图片描述

Web14

编译器漏洞，听闻过以前这种漏洞很多
查看源文件" <img src="editor/upload/banner-app.png" alt="App">"
存在这样一个路径访问/editor/
插入文件——文件空间里找到flag

web15

按照提示完成的
访问/admin页面发现有一个忘记密码操作，需要输入地址在主页面下面看到QQ邮箱，通过QQ号查询邮箱，是西安的修改密码成功，用户名 admin 登录成功获得flag

web16

php探针-phpinfo

web17

扫目录获得
backup.sql

web18

if(score>100)
{
var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");
}

得到110.php

web19

查看源码

web20

扫描后台，下载到数据库。打开即可
flag{ctfshow_old_database}