前言特别提醒本篇文章包含原理和知识拓展篇幅较长部分题目扩展较多包括部分工具的配置教程之后会重新将工具配置教程单独出文章前10个ctfshow--VIP题目限免包含原理和知识拓展前10个-CSDN博客部分代码由AI生成复制过来前面会显示行数比如代码框中1dirsearch删去前面数字就行了域名txt记录泄露题目提示域名其实也可以隐藏信息比如ctfshow.com 就隐藏了一条信息5月30日 修复目标地址为flag.ctfshow.com本题包含一个工具的安装配置直接使用dns在线解析只能不断积累这方面的在线网站比如https://www.itdog.cn/dns/flag.ctfshow.com别被吓到好多广告或者DNSLog Platform可能需要点魔法在线域名解析记录检测-在线Nslookup域名解析查询工具看了wp需要换浏览器谷歌不行就用360或者火狐这个非常重要注意txtdns解析有多个类型如果跑不出来可以尝试换浏览器多试试往下翻解析结果可以选择地区立即就能定位结果如下联通 西藏拉萨 flag.ctfshow.com TXTflag{just_seesee}敏感信息公布题目提示有时候网站上的公开信息就是管理员常用密码解题步骤1.查看页面源码没有发现有用信息操作访问网站首页右键点击“查看页面源代码”。结果未发现明显的注释、隐藏字段或 JS 中的敏感线索。结论常规的前端源码中没有直接线索需要进行目录扫描。2.打开wvs或者dirsearch网站扫描工具扫描发现一堆202 页面 在最后发现了robots.txt 这种 关键文件给我们后台地址的同时也给我们了管理员账号dirsearch安装与配置新手入门指南_dirscach目录遍历工具-CSDN博客因为我有好几个python版本所以使用py启动器推荐 Windows 用户Windows 系统自带的py命令通常能更智能地管理版本。请尝试把python3换成py安装库指定版本py -3 -m pip install defusedxml运行工具py -3 dirsearch.py -u https://创建的容器网址dirsearch 工具已经成功启动正在开始扫描目标网站了。状态解读报错消失之前那个红色的ModuleNotFoundError不见了说明py -3这个命令成功找到了你安装的defusedxml库环境问题解决。启动画面v0.4.3这是 dirsearch 的版本号。Extensions: php, asp...它告诉你它准备扫描哪些后缀的文件。Wordlist size: 12295它加载了一个包含 12295 个常用目录/文件名的字典。正在运行Target: ...确认了你要扫描的目标网址。[17:17:38] Scanning:这是关键说明扫描已经开始。光标在闪烁等待它正在后台发送请求一旦发现有用的目录比如 200 OK 的页面就会立刻显示在屏幕上。接下来会发生什么屏幕上会不断刷出扫描的进度。如果它发现了存在的目录比如/admin、/login.php等会显示类似这样的行200 12KB https://.../admin你现在只需要耐心等待扫描结果即可。小提示那个黄色的警告SyntaxWarning: break in a finally block可以忽略它是代码写法上的小瑕疵不影响工具运行。最终扫描结果找到了这道题最关键的线索。最后一行绿色的200 - /robots.txt这就是你的突破口。3.访问 robots.txt在浏览器里输入地址后面添加一个robots.txt并回车4.寻找“隐藏”信息打开这个文件后你会看到类似这样的内容Disallow: /xxxxxx这就是出题人藏的后台路径甚至可能直接写着# 用户名: admin之类的注释。5.找到后台并登录根据robots.txt里提示的路径比如/admin或/login去浏览器访问那个页面。尝试登录。密码提示还记得题目提示吗“网站上的公开信息就是管理员常用密码”。回到网站首页。右键 - 查看网页源代码。找找看有没有像电话号码、邮箱、或者特殊的数字串。那个通常就是密码。3.接着就是密码的猜测将进度条滑到最后发现了一串电话数字: 372619038作为密码在你的浏览器地址栏输入https://容器地址/admin这是根据扫描结果推测的登录入口登录拿到flag内部技术文档泄露题目提示技术文档里面不要出现敏感信息部署到生产环境后及时修改默认密码这是一个非常典型的CTFCapture The Flag场景。“技术文档”、“默认密码”、“生产环境”以及“内部泄露”这通常意味着攻击面在于开发人员疏忽将包含默认凭证、数据库连接信息或API密钥的 技术文档如README、Wiki、部署手册公开了或者应用上线后仍在使用文档中记载的默认弱口令。解题步骤尝试一下扫描出来的js和fonts都显示403说明存在文件不存在显示404后面深入扫描python dirsearch.py -u https://网址/js/ -e js发现[17:04:24] 200 - 10KB - /js/custom.js 只显示了这个是绿色的但是其实这就是页面源代码看样子好像没什么用但是你只要全选了就能发现有点不一样这道题真的很狗或者用鼠标划这块地方的时候就能发现第三列最后document是个超链接可以点击点击document之后到了一个pdf里容器网址后面加/system1103/login.php登录之后显示flag结合CTF的常见套路和搜索结果中的安全规范以下是针对该场景的解题思路和操作步骤这道题有点不一样扫描之后不需要后面的步骤️ 第一步定位“技术文档” (信息收集)题目提示“技术文档里面不要出现敏感信息”你需要找到这些文档。用dirsearch扫描常见文档路径在目标网站或IP的根目录下尝试访问常见的技术文档文件名。CTF中常见的包括README.md/README.txtINSTALL.mdCHANGELOG.md.git/config或.git/HEAD(如果存在Git泄露里面往往有历史提交记录包含敏感信息)swagger.json/api-docs(API文档常包含默认测试账号)robots.txt(有时会暴露后台或文档目录)如果没有安装配置dirsearch的可以看dirsearch安装与配置新手入门指南_dirsearch pycharm怎么使用-CSDN博客扫描后常用步骤利用搜索引擎 (Google Hacking)如果文档不在根目录尝试在搜索引擎中搜索目标域名的特定文件类型site:目标域名 filetype:pdf passwordsite:目标域名 filetype:md adminsite:目标域名 index of secret检查代码仓库如果题目提供了Git仓库地址检查历史提交记录git log开发人员可能在某次提交中包含了配置文件如application.yml,.env随后虽然删除了文件但记录仍留在历史版本中。 第二步利用“默认密码” (漏洞利用)一旦找到文档或者根据题目提示推测出使用的组件如Harbor, Nacos, MySQL, TongWeb等你需要查找该组件的默认凭证。CTF中高频出现的默认密码对照表组件/系统默认用户名默认密码备注HarboradminHarbor12345常见于容器镜像仓库题目Nacosnacosnacos常见于配置中心题目MySQLrootroot/123456/ 空或者是安装日志里的临时密码RuoYi (若依)adminadmin123/123456常见于Java开发框架题目TongWebadmin123456/TongWeb123国产中间件常见Jenkinsadmin查看初始日志文件或空或者是adminPostgreSQLpostgrespostgres数据库常见Redis(无)(无/空)未授权访问直接连接6379端口操作建议如果你找到了README.md里面可能会写“部署命令docker run ...默认账号 admin/admin123”。如果你找到了application.yml或.env直接查找password:或DB_PASSWORD字段。 第三步获取 Flag (后续操作)拿到默认密码后通常有以下几种情况登录后台使用找到的账号密码登录系统的管理后台如/login,/admin,/consoleFlag 通常在首页公告、用户列表或系统设置页面。数据库查询如果拿到的是数据库密码连接数据库MySQL/PostgreSQL/Redis遍历库和表Flag 往往藏在名为flag,secret,config的表中或者在users表的备注里。未授权访问如果是 Redis 或 Elasticsearch可能不需要密码直接连接后执行KEYS *或GET flag。编辑器配置不当题目提示有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人解题步骤考察源码的观察能力打开源码观察发现存在assets和editor两个目录第一个403第二个进去是一个编辑器题目直接提示editor了一般就是在这里得到一个编辑器探索下能利用的漏洞欸图片插入文件和音视频都可以访问虚拟机目录空间编辑器的按键比较多其中“插入文件”最让我们感兴趣它可以遍历根目录下的所有文件一般80端的flag和hint存在于/var/www下进入目录html发现nothinghere文件夹点进去发现一个txt文本文件即是flagURL后面加/nothinghere/fl000g.txt就可以找到flag密码逻辑脆弱题目提示公开的信息比如邮箱可能造成信息泄露产生严重后果因为题目里面有邮箱翻一下网页发现最后有显示一个qq邮箱然后扫描路径找到后台登录URL/admin忘记密码——需要所在地城市——可通过添加qq号查看西安重置密码为admin7789登录显示用户名错误他不叫大牛这里密码重置成功是一个bug用户名改成admin登录成功得到flag探针泄露题目提示对于测试用的探针使用完毕后要及时删除可能会造成信息泄露在 Web 安全领域“探针”通常指代一种特定的 PHP 管理工具——“PHP 探针”最常见的是Tianxing Probe或Yahei Probe。做web题时一般第一步就是dirsearch扫描和之前内部技术文档泄露的题一样显示403首先可以想着深入扫描一下前面都一样后面加个/js/ -e js深入扫描完发现没有可疑的或者要不就是字典太小了换个大字典如果你有dirsearch的完整版尝试使用big.txt或者common.txtpython dirsearch.py -u [你的靶机URL] -e php -w /path/to/big.txt而且这道题好像不能右键查看源码要ctrlshifti看了源代码也没看出来啥里面没flag这道题探针关于php看到php参数那点击php信息对应的超链接转过去出现第二个界面ctrlf搜flagCDN穿透题目提示透过重重缓存查找到ctfer.com的真实IP提交 flag{IP地址}这题坏了直接给flag了js敏感信息泄露题目提示不要着急休息休息一会儿玩101分给你flag一进界面就给我over了看笑了查看源代码看到有个js文件既然提示是说关于js文件的问题那我们左侧导航栏看到Flappy_js.js文件点开发现下面有一串异常的u开头的文件\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b解码后是你赢了去幺幺零点皮爱吃皮看看那么我们访问../110.php即可得到flag前端密钥泄露题目提示密钥什么的就不要放在前端了方法一解密获得密码正常登录看提示就知道是个密码学问题先查看一下源代码cyberchef aes 解密倒数第六行return .... CryptoJS.AES....可知网页CyberChef本地https://github.com/gchq/CyberChef/releasesa599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf041.选择aes decry解密模块2.根据js代码的funciton信息选择对应的参数3.输入key 和 iv看第一张图的内容有写k4.输入 注释的password值秒解密用户名为admin 密码为解密值方法二抓包改数据记得要抓的是网页按提交时候的不是开靶场的是post请求最后一行usernameadminpazzworda599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04然后放包就行数据库恶意下载题目提示mdb文件是早期aspaccess构架的数据库文件文件泄露相当于数据库被脱裤了。检查源代码没有发现任何东西非常简短没啥好看的也没注释所以使用dirsearch扫描一下照样深入扫描一下网址输入一下就蹦出来下载可以用excel打开如果下载了access的话也可以用用excel打开的时候要一直点确认信任一下就好了看最后一行