CTF入门学习笔记

简介: CTF入门学习笔记

Web笔记
Web源码泄露

·Vim源码泄露(ctf中常见)

解题思路:发现页面提示vi或者vim说明存在swp文件泄露

地址:/.index.php.swp或/index.php~

(下载源码有乱码linux运行)恢复文件:vim -r index.php

·备份文件泄露

地址:index.php.bak,www.zip,wwwroot.zip,htdocs.zip,可以是Zip,rar,tar.g,7z等

·.git源码泄露

地址:http://www.xxx.com/.git/config

工具:GitHack、dvcs-ripper

·SVN导致文件泄露

地址:http://www.xxxxx.com/.svn/entries

工具:dvcs-ripper、Seay-Svn

·编码加解密

1.Base64多次加密

Python解密脚本

import base64

fp=open('1.txt','r')

a=fp.read()

while 1:

a=base64.b64decode(a)

print a

2.摩尔斯电码

在线加解密网站

3.培根密码

在线加解密

4.栅栏密码

在线加解密网站

5.凯撒密码

在线加解密网站

6.JsFuck

在线加解密网站

·windows特性

1.短文件名

利用“~”字符才接暴露短文件/文件夹名

eg:backup-08155615d1561861151f56151351ad53aw1d3a.sql是长文件名,

其短文件名为:BACKUP~1.sql

2.IIS解析漏洞

绕过文件上传检测白名单

·PHP弱类型

string,integer,array,double,boolean,object,resource,NULL(==遇到不符合类型,自动转换)

php类型比较

'123'==123

相关文章
|
5月前
|
NoSQL Ubuntu Linux
CTF-Pwn 入门:环境搭建
CTF-Pwn 入门:环境搭建
|
10月前
|
开发框架 监控 Kubernetes
CTF本地靶场搭建——GZ:CTF基础使用
GZ::CTF是一个基于ASP.NET Core的开源CTF竞赛平台,支持Docker或K8s容器部署,提供静态和动态题目类型,包括静态附件、动态附件、静态容器和动态容器,具备动态分值功能,如三血奖励和动态flag作弊检测。平台还具有实时通知、邮件验证、用户权限管理、Writeup收集、流量代理转发等功能。此外,它包含比赛管理、队伍管理、用户管理等多个管理模块,适合举办和参与网络安全竞赛。
|
10月前
|
安全 NoSQL Shell
PWN入门必读
PWN入门必读
|
10月前
|
机器学习/深度学习 算法 编译器
【C++】自学终极笔记
【C++】自学终极笔记
179 0
|
安全 网络安全 网络虚拟化
CTF学习和比赛平台简介
CTF学习和比赛平台简介
1024 1
|
算法 C语言
[笔记]计算机基础前言
[笔记]计算机基础前言
|
Shell Perl
CTF真题 | [HITCON 2017]SSRFme
CTF真题 | [HITCON 2017]SSRFme
378 0
|
前端开发 JavaScript PHP
CTF_从入门到失业
CTF_从入门到失业
CTF_从入门到失业
|
安全 程序员 PHP
文件上传漏洞-通过ctf真题学习
文件上传漏洞-通过ctf真题学习
387 0
文件上传漏洞-通过ctf真题学习
|
JavaScript 前端开发 PHP
bukku ctf(刷题2)
bukku ctf 练习平台
370 0
bukku ctf(刷题2)