释放双眼,带上耳机,听听看~!
web1
直接查看源代码
web2(绕过JS限制)
查看源代码 通过在url头部添加 view-source:
一些网站使用JS限制或者其他方法使得浏览网页无法使用鼠标右键以及f12,因此需要用view-source:来绕过,IE浏览器目前不支持,建议用火狐或者谷歌
web3(抓包查看)
通过burpsuite抓包 flag在返回的响应数据包里面
需要用到工具burpsuite,一般在响应包或者请求包里面
\web1-web9.assets\image-20210418141336543.png)
\web1-web9.assets\image-20210418141533500.png)
可以看到flag藏在响应包里面
web4-web9(信息泄露类型)
web4:考点是robots.txt文件,直接访问url/robots.txt获得flag
web5:考点phps文件泄露,直接访问index.phps。获得flag
web6:考察代码泄露。直接访问url/www.zip,获得flag
web7:考察git代码泄露,直接访问url/.git/index.php
web8:考察信息svn泄露,直接访问url/.svn
web9:考察vim缓存信息泄露,直接访问url/index.php.swp
git源码泄露、svn源码泄露、hg源码泄漏、CVS泄露、Bazaar/bzr泄露、网站备份压缩文件、WEB-INF/web.xml 泄露、DS_Store 文件泄露、SWP 文件泄露、GitHub源码泄漏,常见备份文件类型总结.git .svn .swp .~bak .bash_history,
详细泄露文件介绍:https://blog.csdn.net/qq_33942040/article/details/110870939,上面的信息泄露可以参考 https://blog.csdn.net/a597934448/article/details/105431367
