ctf网络安全大赛主要动作（网络安全学习笔记-CTF信息收集）

ctf网络安全大赛主要动作（网络安全学习笔记-CTF信息收集）泄露的文件可分为备份文件、网站打包源码、特殊后缀文件等。常见的包括index.php.bak、index.phps、www.zip、web.zip、www.7z、robots.txt等。index.php.bak、index.phps一般为网站开发人员为防止代码丢失而设置的备份文件。www.zip、web.zip、www.7z一般为打包网站源码后未及时删除的文件。python dirsearch.py -u <URL> -e <EXTENSION>扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。常见扫描器—Dirsearch：dirsearch是一个python开发的目录扫描工具，目

CTF信息泄露
当我们访问web页面时，常常会出现相关的个人信息，比如邮箱、电话、地址等等。在CTF的比赛中，出题人可能会故意留给我们一些重要信息，多见于Cookie、源代码、请求头、响应头中。

源代码

Cookie

CTF文件泄露

扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

常见扫描器—Dirsearch：dirsearch是一个python开发的目录扫描工具，目的是扫描网站的敏感文件和目录从而找到突破口。

使用方法：

python dirsearch.py -u <URL> -e <EXTENSION>

泄露的文件可分为备份文件、网站打包源码、特殊后缀文件等。常见的包括index.php.bak、index.phps、www.zip、web.zip、www.7z、robots.txt等。index.php.bak、index.phps一般为网站开发人员为防止代码丢失而设置的备份文件。www.zip、web.zip、www.7z一般为打包网站源码后未及时删除的文件。

robots.txt（统一小写所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。）是一种存放于网站根目录下的ASCII编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。

Git泄露

Git 是一个开源的分布式版本控制系统，用于敏捷高效地处理任何或小或大的项目。Git 是Linus Torvalds为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。Git 与常用的版本控制工具CVS SVN等不同，它采用了分布式版本库的方式，不必服务器端软件支持。

svn泄露

SVN（subversion）是源代码版本管理软件，造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中，会自动生成一个名为 .svn的隐藏文件夹，其中包含重要的源代码信息。”（可以利用.svn/entries文件，获取到服务器源码、svn服务器账号密码等信息）。