当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 打开靶场网页 这次用到一个开源的目录爆破工具——dirsearch，启动方式是常见的命令形式，设置好url地址为靶场和文件扩展名为所有 ...

一、目录遍历 　　目录遍历漏洞，一般flag放在目录或者目录文件里面。 二、PHPinfo 　　泄露PHPinfo文件，直接搜索flag。 三、备份文件下载 　　看看提示有没有关键信息，没有的话就用目录扫描工具扫描备份文件。 对于.bak文件可以尝试用notepad++打开 ...

目录 Git 源码泄露 确定是否存在泄漏 获取泄露的源码 例题：攻防世界-lottery 例题：攻防世界-mfw 例题：JMUCTF-leak_snake Git 源码泄露 开发人员会使用 git 进行版本控制，对站点 ...

知识点:PHP弱类型 .git文件泄露 玩攻防世界 遇到一个题lottery 进去看看 分析玩法 我们发现 进入登陆用户都是初始值 金钱是20 彩票号码必须输入7位 然后看你输入的彩票号码有多少个重复。 然后我们还发现 flag是可以购买 ...

前言 在ctf中发现很多源码泄露的题，总结一下，对于网站的搭建要注意删除备份文件，和一些工具的使用如git，svn等等的规范使用，避免备份文件出现在公网 SVN源码泄露 原理 SVN（subversion）是源代码版本管理软件，造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用 ...

需要用到工具opensll（现在版本的kali里面会自带openssl） Pem文件分析：其中每个元素对应的RSA中的元素 私钥 RSAPrivateKey ::= SEQUENCE { version Version, modulus INTEGER, -- n ...

...

基础知识类题目 考察基本的查看网页源代码、HTTP请求、修改页面元素等。 这些题很简单，比较难的比赛应该不会单独出，就算有因该也是Web的签到题。 实际做题的时候基本都是和其他更复杂的知识结合起来出现。 姿势：恶补基础知识就行 查看网页源代码 按F12就都看到了，flag一般都在 ...