CTFshow Web 入门篇：web12 至 web20 解题思路

进入到页面，在页面最底下找到 document(文件)，点击进入到系统使用手册。

在最下面找到了后台登录地址和默认用户名、默认密码，访问默认后台地址发现无法访问此页面，参考了相关解题思路发现只要进入到后台登录地址之后，输入用户名和密码就能够得到 Flag。

思路总结：这种类型的信息搜集题目，需要根据题目提示找，在网页中尝试点击任何东西，看有没有有用的东西

web14

直接信息收集三件套，先使用 dirsearch 目录扫描一下，扫到了/editor 这个目录。

editor:编辑

是一个编辑器。

尝试多个功能点之后，在图片->网络图片->图片空间中找到了 f1000g.txt 这个文档。

/editor/attached/image/var/www/html/nothinghere/fl000g.txt

nothinghere:这里什么都没有

在 url 后面加上这个/nothinghere/fl000g.txt 就能够得到 Flag 了。

https://c84a1aa3-c03d-467f-bba8-4582aec50ee5.challenge.ctf.show/nothinghere/fl000g.txt

ctfshow{3f2e0d55-05f9-4189-bff2-d89ef18b3281}

思路总结：首先是信息收集三件套起手，之后是通过三件套收集到的信息进入到编辑器页面，在编辑器中点击可用的功能点，看是否能够获得到有用的信息，不停的尝试自己的思路，之后是找到了可疑的路径，/nothinghere,这里什么都没有，这个路径就很可疑，点进去之后发现里面有一个/f1000g.txt 文档，把/nothinghere/f1000g.txt 路径和题目的 url 路径拼接到一起得到 flag

web15

根据题目提示在页面最下面找到了一个 qq 号

[email protected]

去 qq 看了一下他的信息

然后使用 dirsearch 进行目录扫描，知道了他的后台登录地址为/admin

访问进去是一个后台登录系统，尝试使用弱口令进行登录，发现并不行，下面有一个忘记密码的功能，试一下，需要提交密保答案，这就和我们刚才收集到的 qq 号有关系了，那个人的信息简介地址是在陕西西安，试一下

密码被重置为了 admin7789

使用 admin admin7789 登录成功，得到 Flag

web16

信息收集三件套，查看源码、抓包、目录扫描，都没有找到有用的信息。

搜索了一下提示信息，直接再 url 后面加上/tz.php 就行了，然后进入雅黑 PHP 探针中，点击 PHPINFO，进入到 phpinfo 页面，ctrl+f 搜索 flag，得到 Flag

ctfshow{53531306-67af-4a40-807f-abc05f6160b2}

才开始使用 dirsearch 进行目录扫描的时候，没有扫描到任何信息，是因为 tz.php 不在 dirsearch 的默认字典库中，需要自己手动弄一个字典库，然后进行扫描就行了

phpinfo.php

info.php

test.php

tg.php

tz.php

probe.php

admin.php

backup.zip

将这几种常见的探针路径添加到字典库中再次进行目录扫描就 ok 了

python dirsearch.py -u https://4bafe972-d58d-4a46-afde-b035c3b3c22e.challenge.ctf.show/

-w:指定字典库

-e:指定后缀

注意：若字典库已包含后缀，则无需重复指定后缀参数。例如 tz.php.php，不会傻乎乎的拼接的，如果在字典库中的单词没有后缀，使用-e 指定后缀之后，他就会添加上后缀

知识点：phpinfo、PHP 探针

phpinfo 是 PHP 内置的环境信息显示函数；

PHP 探针是用 PHP 编写的服务器检测脚本，通常会集成 phpinfo 功能，并额外显示权限、组件、磁盘、数据库等更多信息

思路总结：通过题目提示知道了是使用探针，然后再 url 后面添加几种常见的探针进行访问，tz.php 访问成功，进入到 PHP 探针页面，然后找到 phpinfo，进入到 phpinfo，ctrl+f 搜索 flag，才开始使用信息收集三件套，并没有收集到有用的信息，后面发现是 dirsearch 目录扫描的时候他的默认字典库中并没有 tz.php，自己创建一个字典库然后使用目录扫描就能够扫描到 tz.php 了

web17

信息收集，使用 dirsearch 扫描，扫描到了/backup.sql

backup：备份

把/backup.sql 拼接到 url 后面下载到了一个名为 backup.sql 的文件，打开之后，得到了 Flag

web18

是一个玩到 101 分的小游戏，玩了一下，速度太快了。

信息收集查看源码

再调试器中直接搜索 flag，找到这个

var result=window.confirm("\u4f60\u8d62\u4e86\uff0c\u53bb\u5e7a\u5e7a\u96f6\u70b9\u76ae\u7231\u5403\u76ae\u770b\u770b");

然后对其中的字符进行解码：'你赢了，去幺幺零点皮爱吃皮看看'

再 url 后面拼接 /110.php，得到 Flag

web19

第一种方法：

通过查看页面源代码，

知道了这是 AES 加密，

运算模式为：CBC

他分别给出了填充模式：ZerosPadding

密钥：0000000372619038

偏移：ilove36dverymuch

密钥：a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04

使用 AES 进行解密，得到密码为：i_want_a_36d_girl

admin

i_want_a_36d_girl

第二种方法：发送 POST 请求

使用 burp 抓包，先抓取登录的页面，然后再发送到重放器中，再进行修改，

username=admin&pazzword=a599ac85a73384ee3219fa684296eaa62667238d608efa81837030bd1ce1bf04

思路总结：通过信息收集，得到源码，两种解法，一种是通过 AES 在线平台进行解密，源码出提供了需要的东西，解出密码，之后登录就行了。另一种是通过在源码出得到的信息，使用 brup 发 POST 请求，得到 flag

web20

使用 dirsearch 进行目录扫描

python dirsearch.py -u https://9f937202-a889-4b2f-a877-4bf58efc8ce9.challenge.ctf.show/

-r:递归扫描

扫描到，/db/db.mdb，拼接到 url 后面，下载到一个名为 db.mdb，打开之后直接搜索 flag 就能够获得到 Flag

知识点：.mdb

.mdb 文件是 Microsoft Access 数据库文件，早期很多 ASP(后端)+Access(数据库) 的网站，会直接用它来存网站的数据。

如果这个文件因为配置错误被别人下载到了，就等于网站的数据库整个被拿走了