CTFSHOW web入门 信息收集WriteUP

2 3 3 C T F S H O W

因为放图后国内网络问题导致加载速度很慢效果不佳所以从这个开始就尽量不放图片了

WEB1

开发注释未及时删除

进入环境直接使用F12打开控制台即可找出flag

<!-- ctfshow{4fd63d59-4831-49ff-9bd6-4ee34b8e70c4} -->

WEB2

js前台拦截 === 无效操作

这道题进去以后发现F12按了没反应，右键也不行，但是可以直接通过浏览器界面打开开发者模式或者通过查看源代码绕过，flag就在注释里

<!-- ctfshow{5f025258-4778-4833-95ff-1941f3ae0f6e} -->

WEB3

没思路的时候抓个包看看，可能会有意外收获

根据提示从请求头直接抓取到flag

Flag: ctfshow{c9e9eea4-5293-47d2-8f13-219856f7d61e}

WEB4

总有人把后台地址写入robots，帮黑阔大佬们引路。

这道题根据提示直接访问robots.txt，获取到flag文件地址，访问即可得到flag

WEB5

phps源码泄露有时候能帮上忙

这道题一开始没有思路，但是看到phps文件尝试访问index.phps下载到主页的源码后直接在注释里得到flag

//ctfshow{2b127e88-8378-410e-abe0-1f215357d8ac}

WEB6

解压源码到当前目录，测试正常，收工

这道题是站长太粗心直接把网站源码遗留在生产环境中，扫描目录发现www.zip，下载即可直接获得flag

WEB7

版本控制很重要，但不要部署到生产环境更重要。

这道题根据提示可以猜到是版本文件泄露，尝试访问/.git直接获取flag

WEB8

版本控制很重要，但不要部署到生产环境更重要。

嗯？难道我看错题了？不过测试发现.git这次不行了，经过搜索发现.svn也是常用的开发版本文件，尝试访问发现直接获取flag

1
2
3

NOTE 
常见文件泄露目录格式
.git  .svn  .DS_store  .hg  /CVS/*  .bzr   .filename.swp  phpinfo.php

WEB9

发现网页有个错别字？赶紧在生产环境vim改下，不好，死机了

这题似乎也没啥思路，不过上一题查过vim的缓存文件 .filename.swp 尝试访问index.php.swp直接获取到了flag

WEB10

cookie 只是一块饼干，不能存放任何隐私数据

根据提示直接抓包获取cookie内存储的的flag

WEB11

域名其实也可以隐藏信息，比如flag.ctfshow.com 就隐藏了一条信息

用好几个网站查询都不行，不知道是什么问题，可能域名有问题，访问不了了，不过大概是考nslookup这种域名解析的知识

WEB12

有时候网站上的公开信息，就是管理员常用密码

网站底下的帮助热线就是密码，直接使用admin账号即可登录

WEB13

技术文档里面不要出现敏感信息，部署到生产环境后及时修改默认密码

在网站顶部看到document，点进去后看到默认密码，尝试登录直接成功

WEB14

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

这道题一开始也没思路，点提示后才发现/editor是个能访问的插入编辑器，选择上传文件发现有个文件浏览，一看直接连传马都不需要了，直接找到flag所在文件打开即可

WEB15

公开的信息比如邮箱，可能造成信息泄露，产生严重后果

根据提示找到一个QQ邮箱，尝试/admin发现后台管理界面，尝试邮箱失败，不过发现有重置密码界面，点进去发现是我所在的城市？根据QQ邮箱的QQ直接搜到这个人是在西安，尝试后直接改掉了密码进入后台

WEB16

对于测试用的探针，使用完毕后要及时删除，可能会造成信息泄露

直接访问tz.php找phpinfo信息，然后直接搜索到作为flag的环境变量

WEB17

备份的sql文件会泄露敏感信息

直接下载backup.sql获得flag

WEB18

不要着急，休息，休息一会儿，玩101分给你flag

这道题是个很难的Flappy bird，玩了一会发现根本不可能过，所以F12找到js文件的通过条件的js

1

var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");

直接复制到控制台，弹出提示：你赢了，去幺幺零点皮爱吃皮看看

根据谐音访问110.php直接获取flag

WEB19

密钥什么的，就不要放在前端了

这道题密钥前端验证，可以直接从前端找到判断的js代码

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

    function checkForm(){
        var key = "0000000372619038";
        var iv = "ilove36dverymuch";
        var pazzword = $("#pazzword").val();
        pazzword = encrypt(pazzword,key,iv);
        $("#pazzword").val(pazzword);
        $("#loginForm").submit();
        
    }
    function encrypt(data,key,iv) { //key,iv：16位的字符串
        var key1  = CryptoJS.enc.Latin1.parse(key);
        var iv1   = CryptoJS.enc.Latin1.parse(iv);
        return CryptoJS.AES.encrypt(data, key1,{
            iv : iv1,
            mode : CryptoJS.mode.CBC,
            padding : CryptoJS.pad.ZeroPadding
        }).toString();
    }

还给了验证的密钥

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

    error_reporting(0);
    $flag="fakeflag"
    $u = $_POST['username'];
    $p = $_POST['pazzword'];
    if(isset($u) && isset($p)){
        if($u==='admin' && $p ==='a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04'){
            echo $flag;
        }
}

根据收集到的信息搜索AES加密，使用这个网站，从上面前端的JS中找到相关方法：CBC ZeroPadding，再根据密文解密出密码：i_want_a_36d_girl

直接提交账号和密码admin i_want_a_36d_girl获取flag

WEB20

mdb文件是早期asp+access构架的数据库文件，文件泄露相当于数据库被脱裤了。

根据提示搜索相关信息，可以搜到/db/db.mdb，尝试下载后使用access打开，虽然报了一堆错，但是最后还是找到了flag

flag{ctfshow_old_database}