ctfshow——敏感信息公布
提示:有时候网站上的公开信息,就是管理员常用密码
题目如下图所示
一、看到网页,我们可以随便点点。
发现怎么点都没有弹出登录界面的话,我们可以通过
dirsearch -u https://917dde0c-77d1-4270-bc3f-89c4f6faeff9.challenge.ctf.show/
来扫描它有哪些目录文件。
很幸运,我们成功扫到了一下文件目录
二、根据扫描到的目录,我们可以筛选一下哪些是我们需要的。
通过一个一个打开后,发现在admin界面会弹出来一个登录弹窗,需要我们输入账号和密码。
账号不难猜,是admin(在robots.txt文件中)。但是密码呢?
三、根据提示,我们可以在网站主页中寻找敏感信息。
在网站最下方,手机号是最明显的一个信息了,我们可以尝试输入来看看是否是正确的密码。
四、成功找到flag
当我们把密码输入进去后,页面发生跳转,说明手机号就是它的密码,这时候跳转的页面就会显示出flag
ctfshow{ce16a57c-5916-4473-863e-618a61b33975}