ctfshow web入门（1）

web1

查看页面源代码

web2

ctr+u

 

web3

因为查看源码没有东西，网络查看下数据包，找到flag

web4  robots协议

其他都没啥信息，就看下robots.txt,这个文件可能会泄露部分网站目录

访问下，看到了

 

web5 phps泄露

也没啥信息，在响应头里面看到了X-Powered-By：PHP/7.3.11

得知-网站是用php语言编写的

phps文件就是php的源代码文件，通常用于提供给用户（访问者）查看php代码.

访问index.phps，将文件下载下来，打开即可看到flag

web6 源码压缩包泄露

在content-encoding：gzip里面得到提示

后缀跟上www.zip。

下载得到一个文件夹

我先看的index.php文件，得到提示说flag在f100g.txt文件里面

但是！他给了错误的flag

那就再访问一下8 ,得到咯

web7 .git泄露

这题属实是没思路了，看的wp

提示是这么说的

然后常用的版本控制工具git，svn

是由于运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候， .git 这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码。
访问 url/.git/ ，得到 flag
类似的还有 .hg 源码泄露，由于 hg init 的时候生成 .hg 文件。

web8 .svn泄露

就根据上面那个wp写的，这里用.svn/

好的顺便补充一下知识

git与svn的区别（git与svn是常用的版本控制工具）：
1.git是分布式的，svn是集中式的
2.git将每个历史版本都存储完整的文件，svn只是存储差异的文件，历史版本不可恢复
3.git可以离线完成大部分的操作，svn不可以离线操作
4.git可以实现分支合并
5.git可以修改和撤销修改历史版本
6.git速度快，效率高
7.git有本地仓库
8.git以元数据方式存储，svn以原始文件存储

web9  vim缓冲

也忘得差不多了。。

题目提示

发现网页有个错别字？赶紧在生产环境vim改下，不好，死机了

当非正常关闭vim编辑器时（比如直接关闭终端或者电脑断电），会生成一个.swp文件，这个文件是一个临时交换文件，用来备份缓冲区中的内容

而且

第一次产生的交换文件名为“.index.php.swp”；再次意外退出后，将会产生名为“.index.php.swo”的交换文件；而第三次产生的交换文件则为“.index.php.swn”；依此类推。

故在地址后面加上/index.php.swp

下载下来咯

web10  cookie泄露

提示

cookie 只是一块饼干，不能存放任何隐私数据

果然还是得看提示， 提示说看cookie，里面有flag呢

Cookie是当主机访问Web服务器时，由 Web 服务器创建的，将信息存储在用户计算机上的文件。