打开题目就告诉我们是git泄露，那没办法，我们就查询git备份下载呗 GitHack的下载安装 下载地址：https://github.com/lijiejie/GitHack在GitHub上下载源码的压缩包后解压即可使用 需要使用pytho...

[护网杯 2018]easy_tornado 打开题目后，首先发现3个超链接 依次查看文件内容 flag.txt /flag.txt flag in /fllllllllllllag welconme.txt /welcome.txt render hints.txt /hints.txt md5(cooki...

打开可以看见是代码审计，我们看看代码 <?php if (isset($_SERVER[\'HTTP_X_FORWARDED_FOR\'])) { $_SERVER[\'REMOTE_ADDR\'] = $_SERVER[\'HTTP_X_FORWARDED_FOR\']; } if(!isset($_GET[\'h...

做动静分离的时候这里有疑问所以请教度娘 网上摘得，觉得比较有用就记下了 一般来说，X-Forwarded-For是用于记录代理信息的，每经过一级代理(匿名代理除外)，代理服务器都会把这次请求的来源IP...

BUUCTF：[第一章 web入门]常见的搜集 比起那些需要技巧的ctf赛题，还是感觉这种信息收集吸引人 寻找有用的信息 首先看了一下源码貌似没发现什么有价值的东西然后顾名思义估计是要在站点的路径中...

Try to find out source file! 意思就是要进行目录扫描，获取源文件呗、 利用dirsearch进行扫描，可以获取到一堆.bak的备份文件，我们打开这个index.php.bak，可以发现一个简单的代码审计 <?...

1. 前言 渗透的本质是信息收集，这里整理了一些渗透搜索引擎，帮你提高信息收集的效率，找到互联网背后的脆弱面，以下例举的搜索引擎排名不分先后。 2. 国内 2.1 fofa 官网：https://fofa.info/...

BUUCTF[极客大挑战 2019]Secret File 挺有意思的一道题，打开链接。 蒋璐源的秘密？没兴趣，本人不喜欢探索别人的秘密。好吧，hacker喜欢。F12查看一下源码。 出现下一个页面，点击试试 嗯？！...