Ctfweb(2)
2024-09-07 22:57:48
CTFwebshow(2):
phps源码泄露
思路:第一次接触phps这个后缀,第一眼打开的时候是想着用御剑去扫目录,但是很遗憾没有扫到index.phps,然后用burp抓包返回包信息也没有看到端倪,最后看了WP知道了index.phps这个玩法。输入后就得到了flag
phps是什么?
phps文件就是php的源代码,用于提供给用户看的代码,因为用户无法直接通过web浏览器看到php文件的内容所以需要用phps文件代替。通俗来讲就是index.phps是服务器提供给用户的可以查看的php代码
源码压缩包泄露
看到压缩包,之前做过phps源码泄露,想着可能是index.phps.rar,没有反应。后来又试了index.phps.zip,index.zip,在index.zip下载了空白文件,但是www.zip下载了有效文件。
index.php内容如下:
直接打开fl000g.txt是无效的,内容如下:
从web端输入:
http://03653d2d-19fb-4f28-8aec-de63a09106f2.chall.ctf.show:8080/fl000g.txt
夺旗
版本控制泄露:
git和svn是两款版本控制工具,有时候开发人员会忘记删除而导致git泄露
夺旗方法:
http://875e6d45-0cbe-4362-923a-39c2ce466ab7.chall.ctf.show:8080/.svn/
http://17454f65-d694-43ec-a64d-7b3ea433cc4a.chall.ctf.show:8080/.git/
最新文章
- js资源加载优化
- Android之Handler
- Nginx 配置指令的执行顺序(七)
- JQuery DataTables Editor---页面内容修改&;&;数据库信息修改 (1)
- 【spring源码分析】IOC容器初始化(七)
- type-of-python作业-判断字符串是否属于回文需要忽略其中的标点、空格与大小写
- chrome小书签-实用的小功能-javascript代码段
- sqlserver 导出数据
- Python 语言之 map/reduce
- odoo系统之产品表
- 【猿分享第10期】微信小程序Meetup扫盲专场回顾(转载)
- Github上删除仓库
- pymysql中如何将动态的插入数据库中
- Ubuntu 16.04下 - vi编辑器使用【backspace】无法删除
- ios开发UI篇--UIStepper
- 中断、轮询、事件驱动、消息驱动、数据流驱动(Flow-Driven)?
- Windows Server 2008 R2英文版修改桌面主题(Win7主题)
- 描述JSP和Servlet的区别、共同点、各自应用的范围
- 蓝桥杯 第三届C/C++预赛真题(9) 夺冠概率(手工计算概率)
- PAT 1055 集体照
热门文章
- Spring Security原理分析:系列集合
- Pytest(14)pytest.ini配置文件
- inceptor es表插入成功,返回报错you should set transaction.type before any DCL statement
- 2019牛客暑期多校训练营(第七场)H.Pair(数位dp)
- Codeforces Global Round 11【ABCD】
- P1903 [国家集训队]数颜色 / 维护队列 带修改莫队
- Nginx基础 - 配置缓存web服务
- Zabbix 触发器配置多监控项阈值
- 全球最好 css3 website
- empty Checker