CTFShow web入门题刷题记录

CTFShow web入门题刷题记录

web1

提示：开发注释未及时删除

打开网页查看源代码发现

flag：flag{2b2cf8e3-f880-41e1-a8ff-02601b3d998f}

web2

提示：js前台拦截 === 无效操作

打开连接发现无法右键，f12，使用浏览器自带的工具查看（火狐：crtl+u）或者地址前加上view-source：

flag：flag{18c9c586-99d5-47b8-8dcc-e404086c3a54}

web3

提示：没思路的时候抓个包看看，可能会有意外收获

使用burpsuit抓包，使用repeater进行请求，再response发现flag

flag：flag{14e92f7b-e595-4853-80b1-dde68276f8d8}

web4

提示：总有人把后台地址写入robots，帮黑阔大佬们引路。

查看robots.txt文件，再地址上加上/robots.txt

提示文件flagishere.txt，进行查看，得到flag

flag：flag{9478f0f8-7e00-4951-98d9-d7b263aed9ae}

web5

提示：phps源码泄露有时候能帮上忙

经过查阅得知phps文件就是php的源代码文件，通常用于提供给用户（访问者）直接通过Web浏览器查看php代码的内容。

因为用户无法直接通过Web浏览器“看到”php文件的内容，所以需要用phps文件代替。

查看index.php，下载打开后得到flag

flag：flag{3202f639-f3a7-4e63-9700-9d7e116dcd6b}

web6

提示：解压源码到当前目录，测试正常，收工

说明存在源码压缩包并且没有删除，访问/www.zip下载解压得到fl000g.txt和index.php文件，查看fl000g.txt得到flag

提交flag发现不对，查看网页上的fl000g.txt文件，得到flag

flag：flag{bfb96e67-ee68-4519-abd3-b7dd3ca3359f}

web7

提示：版本控制很重要，但不要部署到生产环境更重要。

提示版本控制，联想到git泄露，访问/.git得到flag

flag：flag{90ae22d3-a13c-4748-8c3d-9d6330820c87}

web8

提示：版本控制很重要，但不要部署到生产环境更重要。

版本控制除了git泄露还有svn泄露，查看/.svn，得到flag

flag：flag{dada8522-52a7-4589-b922-c6144be41299}

web9

提示：发现网页有个错别字？赶紧在生产环境vim改下，不好，死机了

使用vim编辑时会产生一个filename.swp的文件，记录动作，例如编辑index.php，会产生index.php.swp的文件

访问/index.php.swp，下载查看得到flag

flag：flag{6cbf9cfb-7d35-4ff5-85b6-7a0dc82bbb81}

web10

提示：cookie 只是一块饼干，不能存放任何隐私数据

对cookie进行查看，按下f12，进入转到网络使用CTRL+R,进行重新载入查看文件请求头

发现flag，对其进行url编码翻译得到flag

flag：flag{d526a271-a980-4e0f-a0a8-b3bc8753a966}