ctfshow web入门

web1

打开得到：

方法1：
f12可在元素里面看到注释从而得到flag：

方法2：
在网站的url前加上view-source:即可得到当前url页码的源码从而看到flag：

方法3：
ctrl+u查看前端源码

总结：

注释，view-source看到前端代码，ctrl+u查看前端源码(此两者是一样的发现，ctrl+u之后就会在url前面加上view-source)

web2

打开后直接ctrl+u查看前端源码得到flag:

从源码中也可以发现：

分别禁用：

• 鼠标右键菜单（用户无法通过右键菜单查看源代码等）
• 禁止用户用鼠标选中/高亮文字（防复制）
• 当按下F12键（键码123）时阻止默认行为(试图阻止打开开发者工具)

web3

抓包，burpsuite打开抓包得到：

然后右键发送到repeater，接着打开repeater，然后点击sent，即可得到flag:

web4

打开得到：

没有思路，url后面加/robots.txt，访问得到：

接下来了解一下robots.txt文件的作用：
robots.txt 是一个网站的 "交通警察" 或 "爬虫说明书"，专门告诉网络爬虫（搜索引擎蜘蛛）哪些地方可以去，哪些地方不能去

# robots.txt 内容
User-agent: Googlebot    # 只对Google爬虫
Allow: /                 # 允许爬所有
----------------------------------------------------
User-agent: *            # 其他所有爬虫
Disallow: /              # 禁止爬任何内容

User-agent: *
User-agent：指定规则适用的爬虫类型

*：通配符，表示所有爬虫（Googlebot、Bingbot、百度蜘蛛等）
Disallow: /flagishere.txt

Disallow：禁止访问

/flagishere.txt：具体的文件路径

意思是：禁止所有爬虫访问 /flagishere.txt 这个文件

---

CTF比赛里，这是一个经典的信息安全竞赛提示，提示参赛者这里有一个有趣的文件，虽然robot.txt告诉爬虫不要访问，但人类可以直接访问

---

之后访问flagishere.txt文件即可得到flag:

web5

打开得到：

之后尝试上述的方法还是得不到flag
通过提示：phps源码泄露有时候能帮上忙
那么我们继续访问/index.phps
之后便下载了一个文件，我们用记事本打开即可得到flag:

当提示“phps源码泄露”的时候，就是index.phps这个文件有配置错误，我们去查这个文件就可以了，不需要纠结这个文件是怎么来的了

web6

打开得到：

又得到提示：解压源码到当前目录，测试正常，收工

我们知道：
常见压缩文件格式

1. ZIP 格式

   • .zip 最常见，多数操作系统默认支持
   • 可能文件：backup.zip, website.zip, source.zip, www.zip

2. TAR 格式（常结合压缩）

   • .tar.gz / .tgz（gzip压缩）
   • .tar.bz2（bzip2压缩）
   • .tar.xz（xz压缩）
   • 可能文件：backup.tar.gz, site.tar.bz2

3. RAR 格式

   • .rar（WinRAR格式）
   • 可能文件：backup.rar, archive.rar

4. 7-Zip 格式

   • .7z 高压缩比格式
   • 可能文件：backup.7z, src.7z

一个个尝试一下，可以得到 url + /www.zip后下载到了一个附件，打开，得到：

txt文件中的为假flag, 打开php文件，得到：

我们尝试用url+/fl000g.txt看看能得到什么

确实得到flag

之后我尝试用dirsearch进行目录扫描，也能扫到www.zip（但是但是，为啥我扫描这么久，扫描了二十多分钟，我真的3Q了。我记得我以前用这个也没这么久，所以去搜索了一下，找到了解决方法：dirsearch扫描速度慢的bug修复，但是改完之后我发现这个方法对我没用，既然如此，我重新下载了一下dirsearch，最新版本的dirsearch，确实更快了，其中用到了：pip3 install httpx和pip3 install httpx-ntlm）

web7

打开链接得到：

尝试了以上方法
dirsearch扫描，得到：

访问，得到：

题目提示为：

版本控制很重要，但不要部署到生产环境更重要。

这里我们得知道：

.git 目录是 Git 版本控制系统在项目中的本地仓库和核心数据库，包含了项目所有的版本历史、配置和元数据

所以这里考察的知识点为：Git代码泄露，直接访问URL/.git即可获得Flag

在Linux中.开头的文件是隐藏文件 ， 网站管理员可能会存在在没有删除.git隐藏文件的情况下就将网站上线，这样就会造成源码泄露.

web8

继续用dirsearch进行扫描，得到：

那么我们访问该网址，得到flag：

题目提示：

版本控制很重要，但不要部署到生产环境更重要。

这里我们得知道：

.svn 目录是 SVN（Subversion）集中式版本控制系统在工作副本中的元数据存储目录，包含与中央仓库同步所需的所有信息

后续的和上题一样

所以版本控制可以访问.git和.svn

web9

dirsearch扫描后什么也没有发现

题目提示：

发现网页有个错别字？赶紧在生产环境vim改下，不好，死机了

知识补充：

在使用vim时会创建临时缓存文件，关闭vim时缓存文件则会被删除，当vim异常退出后，因为未处理缓存文件，导致可以通过缓存文件恢复原始文件内容

以 index.php 为例：

index.php.swp   # 第一次异常退出
index.php.swo   # 第二次（o = 第二个）
index.php.swn   # 第三次（n = 第三个）
index.php.swm   # 第四次（m = 第四个）
...以此类推（按字母倒序）

所以我们一个个访问，访问第一个时便成功了，下载了一个文件，之后用记事本打开即可得到flag

web10

题目提示：

cookie 只是一块饼干，不能存放任何隐私数据

f12 -> 网络 -> 找到cookie -> 找到flag

之后解码一下即可得到结果：

总结

• ctrl + u看源码
• 抓包
• /robots.txt

robots.txt 是一个网站的 "交通警察" 或 "爬虫说明书"，专门告诉网络爬虫（搜索引擎蜘蛛）哪些地方可以去，哪些地方不能去

# robots.txt 内容
User-agent: Googlebot    # 只对Google爬虫
Allow: /                 # 允许爬所有
----------------------------------------------------
User-agent: *            # 其他所有爬虫
Disallow: /              # 禁止爬任何内容

User-agent: *
User-agent：指定规则适用的爬虫类型

*：通配符，表示所有爬虫（Googlebot、Bingbot、百度蜘蛛等）
Disallow: /flagishere.txt

Disallow：禁止访问

/flagishere.txt：具体的文件路径

意思是：禁止所有爬虫访问 /flagishere.txt 这个文件

CTF比赛里，这是一个经典的信息安全竞赛提示，提示参赛者这里有一个有趣的文件，虽然robot.txt告诉爬虫不要访问，但人类可以直接访问

• /index.phps (php源码泄露)
• /www.zip (解压源码)
• dirsearch扫描
• /.git (版本控制)
• /.svn (版本控制)
• /index.php.swp (vim)

在使用vim时会创建临时缓存文件，关闭vim时缓存文件则会被删除，当vim异常退出后，因为未处理缓存文件，导致可以通过缓存文件恢复原始文件内容

以 index.php 为例：

index.php.swp   # 第一次异常退出
index.php.swo   # 第二次（o = 第二个）
index.php.swn   # 第三次（n = 第三个）
index.php.swm   # 第四次（m = 第四个）
...以此类推（按字母倒序）

• cookie