CTFshow_misc_WP
前言本人是在web入门篇写到128题左右开始也刷Misc的题目了,因为现在CTF挑战中,Web与Misc大量的牵扯了进来,Misc又由于本身的解密性,从而增加了一个Web题目的趣味性,也更加的符合实战场景,就我目前的水平而言,Web刷的题都是简单的php代码审计,也想换一个放松心情(~找虐~) 不要固定思维,多找找意想不到的地方Misc入门Misc-01解压即有,拿个图片文字工具(qq截图就有)把flag提取出来 Misc-02打开txt文件看一眼,有图片头png,改文件后缀.webp,然后和第一关一样 Misc-03一种稀奇古怪的图片格式,网络上还没有在线转换器,下一个honeyview/bpgview查看器查看就可以得到图片 Misc-04这不得不说honeyview工具的强大了,这几个txt文件用honeyview工具打开就可以得到图片,再用工具查看,可以得到图片格式分别为png、jpeg(正常打开txt文件可以知道这张图还用Ps改了)、bmp、gif、tiff、webp 1ctfshow{4314e2b15ad9a960e7d9d8fc2ff902da...
CTFshow_web_WP
信息收集web-11开发者开发不仔细,注释留在了前端界面,通过检查界面源代码发现漏洞和flag,得到的flag可能是编码之前的,所以需要进行base64解码或者其他方式解码 web-212前端进行限制,无法查看页面源代码或者检查,通过view-source:url可以查看源代码 通过不断刷新进行F12检查也可以开启代码检查,然后禁用JavaScript web-31通过BP抓包,respond返回请求携带信息泄露(flag) web-4==#如果是有明显的网站架构,可以优先扫描robots文件== 1网页搜索引擎爬取网站的robots(.txt)文件,所以网站robots(.txt)文件也会信息泄露(flag) web-51phps文件泄露,若目录扫描到,通常用于提供给用户(访问者)直接通过Web浏览器查看php代码的内容。因为用户无法直接通过Web浏览器“看到”php文件的内容,所以需要用phps文件代替。用户访问phps文件就能看到对应的php文件的源码。其中可能有flag web-61网站管理者处理备份文件不当,在更新网站的...




