CTFshow Web 入门题解
本文整理了 CTFshow Web 入门系列中 web12 到 web20 的解题思路与实操细节。这些题目涵盖了信息收集、目录扫描、源码分析、常见漏洞利用及加密解密等基础考点,适合初学者建立渗透测试的思维框架。
web12:状态码与信息搜集
题目提示指出网站公开信息中包含管理员常用密码。我们需要在网页中寻找数字或字母组合。
在页面底部发现一串数字 372619038,推测为密码。接着使用 dirsearch 进行目录扫描,发现了 /admin 路径。
访问该路径进入登录窗口,尝试账号 admin 配合刚才找到的数字作为密码,成功登录并获取 Flag。
ctfshow{e63b3786-527a-4d1c-af2b-d1906e80105e}
此外,扫描结果中还有一个状态码为 200 的路径 /robots.txt,访问后发现它指向了 /admin,验证了之前的判断。
知识点:HTTP 状态码
在渗透过程中,理解 HTTP 状态码至关重要:
- 200:请求成功
- 301/302:永久/临时跳转
- 403:禁止访问
- 404:资源不存在
- 500/502/503:服务器错误
- 401:未认证
做题时建议养成使用'三件套'的习惯:目录扫描(dirsearch)、抓包/放包(Burp Suite)、查看源代码。同时留意题目提示和网页中的隐藏信息。
web13:点击交互与文档查找
这类题目通常需要根据提示在页面上尝试点击各种元素。进入页面后,在底部找到名为 document 的文件链接,点击进入系统使用手册。
通过连续点击,最终在底部找到了后台登录地址以及默认用户名和密码。虽然直接访问后台地址显示无法访问,但根据经验,输入正确的凭证即可获取 Flag。
总结:对于信息搜集类题目,不要放过页面上的任何可点击项,往往有用的线索就藏在不起眼的链接里。
