Git泄露

作者: 分类: CTF,Web 时间: 2016-07-27 评论: 暂无评论

一个Git泄露的例子引起的Git再学习和Git泄露利用

0x01 Git泄露

X-NUCA 7月Web赛前指导的题目里遇到了这样一个站:

git-folder-disclosure.png

网站存在git泄露,.git文件被无意上传

index of git.png

默默打开我的Github,然后一脸懵逼...

阅读全文»

Linux下几个安全小Tips

作者: 分类: *nix 时间: 2016-07-26 评论: 暂无评论

0x01 存放历史记录的.bash_history

在用户目录~下有个隐藏文件.bash_history,这个文件是用来存放最近用过的命令,相当于history,默认应该是存放500条,里面很容易会包含一些敏感操作的命令,下面这个是我从服务器上截取下来的:

bash_history.png

可以看到效果(服务器新建设的,从命令可以看出都是在各种配置),再来看看下面这站图,因为偷懒,我一般直接把密码接在-p后面敲,也被记录了

bash_history2.png

阅读全文»

关于分享

作者: 分类: 随笔杂谈 时间: 2016-07-26 评论: 暂无评论

今天在吾爱上面看到这么一句话:

你能在吾爱写上一篇学习心得可能就能挽救一个准备放弃的人,技术是共进的,就是说在以后的技术生涯想依靠一己之力,是很有限的。

阅读全文»

X-NUCA 7月Web专题赛前指导

作者: 分类: CTF 时间: 2016-07-26 评论: 暂无评论

X-NUCA全国高校网安联赛赛前指导-合天网安实验室

Web进阶篇


0x01 捉迷藏

Ctrl+A或者看下源码有个页面,访问后会自动重定向,抓个包或者curl一下就有了

0x02 简单问答

    <form method="post" action="">
    Q1) This is HT-CTF____" :<br>
        <select name="q1" id="q1">
            <option value="0000">0000</option>
            <option value="0010">0010</option>
            <option value="2010">2010</option>
            <option value="2011">2011</option>
            <option value="3100">3100</option>
            <option value="2015">2016</option>
        </select><br/><br/>
    Q2) Acronym for "laughing out loud" :<br> 
        <input type="text" name="q2" id="q2" onblur="myFunction()"><br/><br/>
    Q3) Standard port for SSH :<br> 
        <input type="radio" name="q4" value="20">20<br>
        <input type="radio" name="q4" value="21">21<br>
        <input type="radio" name="q4" value="22">22<br>
        <input type="radio" name="q4" value="23">23<br>
        <input type="radio" name="q4" value="24">24<br>
        <input type="hidden" name="success" value="false">
    <input type="submit" disabled value="Submit Quiz">
    </form>

注意看源码,脑洞题
最后构造q1=2016&q2=lol&q3=22&success=true
POST提交,就可以了。

阅读全文»