作者名:Demo不是emo 

主页面链接:主页传送门
创作初心:一切为了她
座右铭:不要让时代的悲哀成为你的悲哀
专研方向:网络安全,数据结构

每日emo:自己的奇怪归为不普通

Ctf每日刷题,带你从ctf小白到竞赛大牛,关注我来跟我一起训练吧,每日分享自己做的觉得比较有意义的题目,加油!

一:vim缓存文件泄露

题目:web9

训练平台:ctfshow

题目描述发现网页中有个错别字?赶紧在生产环境vim改下,不好,死机了。

打开靶场如下:

还是这样一个常见的页面, 根据题目描述中的信息来看,我们可以得出以下信息

1、开发者使用的是vim编辑器

2、在使用vim编辑器的时候死机,即出现了异常退出的情况

这里就要给大家介绍一个新知识了

当开发人员在线上环境中使用vim 编辑器,打开vim编辑器,产生缓存,关闭vim缓存器,清除缓存,当vim异常退出时,缓存则会一直留在服务器上,引起网站源码泄露。

第一次产生文件的后缀名为.swp

再次意外退出产生文件的后缀名为.swo

第三次产生的后缀名为.swn

比如我用vim编辑了一个index.php文件,突然异常退出(比如电脑突然死机),就会生成一个

index.php.swp文件

注意:这个文件会以隐藏文件的形式放在该目录下 ,如果想通过网页端访问一般需要访问才行

url/.index.php.swp

这个文件就是缓存文件,里面放的就是源码,那怎么读取这个文件呢?直接使用下面的命令就好

vim -r index.php.swp

介绍完了原理,再来看这道题,目录遍历发现他只有一个index.php可以访问,说明有vim缓存溢出的应该就是这个文件,我们直接访问

url/.index.php.swp

发现没反应,有可能作者已经将该隐藏文件取消隐藏了,我们尝试直接访问

url/index.php.swp

成功下载到缓存文件,如下

因为我没在物理机部署vim,所以我们用虚拟机kali来下载,结果直接就出了,其实应该是将它下载到kali再执行刚才的命令将缓存文件恢复成正常的php文件的。

今天也只有一题,今天训练的题也简单,各位小伙伴再耐心等下

【Ctfer训练计划】——(二)相关推荐

  1. 【Ctfer训练计划】——(五)

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,系统安全 每日emo:你想要的是没有生活的工作,还是怀恋那没有工作 ...

  2. 【Ctfer训练计划】——(四)

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,系统安全 每日emo:在学习的过程中迷失生活 目录 一.mdb文件 ...

  3. 【Ctfer训练计划】——(八)

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:web安全,后渗透技术 每日emo:我已经很努力在让自己变好了,求求你再等等 ...

  4. 【Ctfer训练计划】——(十)

    作者名:Demo不是emo 主页面链接: 主页传送门 创作初心: 一切为了她 座右铭: 不要让时代的悲哀成为你的悲哀 专研方向: web安全,后渗透技术 每日emo: 永远年轻,永远热泪盈眶 一.da ...

  5. 【Ctfer训练计划】——(一)

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:网络安全,数据结构 每日emo:那天晚上和你聊了很久,手机烫的和心脏一样 C ...

  6. 【Ctfer训练计划】——(六)

    作者名:Demo不是emo  主页面链接:主页传送门 创作初心:一切为了她 座右铭:不要让时代的悲哀成为你的悲哀 专研方向:web安全,后渗透技术 每日emo:别来我梦里了,我已负担不起醒来的失落 一 ...

  7. 教师基本功训练计算机,2017年中小学教师基本功训练计划

    教师基本功是教师从事教育教学工作必须具备的最基本的职业技能.它包括通用于所有教师的一般基本功,也包括学科教育和教育工作的基本功.以下是学习啦小编为你精心整理的关于2017年中小学教师基本功训练计划的内 ...

  8. 2022 年度「博客之星」评选TOP 200进100结果已出炉

    2022年「博客之星」年度评选马上进入专家评审阶段,「博客之星」评选TOP 200 进 100 结果也已出炉.具体名单以及评选规则如下: TOP 100 名单(按照码龄排序) CSDN ID 昵称 博 ...

  9. 如何提高自己的口才-02

    这篇内容主要摘录几个网上比较受人推崇的训练计划: 训练计划一: 目的:培养"讲话"的兴趣和自信 内容和方法: 1.一周五次以上,每次四十分钟: A:二十分钟朗读(最大声,最清晰,最 ...

最新文章

  1. 坐标下降+随机梯度下降
  2. git 只merge部分_[Skill]俩小时掌握多人开发中git的主要用法
  3. 火遍AI圈的万字长文,Lecun却说“标题太好笑,作者发推宣战:欢迎来辩!
  4. 分享一下字符串匹配BM算法学习心得。
  5. axure类型app项目rp文件_Python编程快速上手实践项目--选择性拷贝指定类型文件到目的目录...
  6. FastDFS集群部署
  7. 45 WM配置-作业-库存盘点-清除差异(库存管理接口)
  8. quick: setup_mac.sh分析
  9. 前后台相互传值的方法概述
  10. sklearn模型支持输入list吗?
  11. 设计资源类网站|日常必逛设计导航
  12. 星尘小组第十一周翻译-设计和优化索引
  13. PHP中获取html页面传值
  14. Rhythmk 一步一步学 JAVA(9) JAVA 基础笔记[枚举,...]
  15. Python链家租房信息爬虫和高德地图展示
  16. fighter_zzh_Steam控制器,即将推出Linux的Street Fighter V以及更多开放式游戏新闻
  17. win10安装账户卡住_安装win10系统卡住不动的原因和处理方法
  18. 查看PFX证书的信息
  19. How to choose optimizer ?训练时,如何选择优化器?
  20. 环境变量的变量名可以随便写么

热门文章

  1. linux 清理缓存
  2. macmini忘记密码怎么办
  3. SQL删除多列语句的写法
  4. 邮递骑士服务器维护,服务器为什么是维护状态
  5. libnuma详解(A NUMA API for LINUX)
  6. SpaceX载人航天发射,宇航员手动操纵龙飞船进行测试!
  7. mysql 索引pk_mysql索引
  8. 超级详细Tcpdump 的用法
  9. 基于Pythonweb的摄影网站设计与实现
  10. 字符流(字符输入流和字符输出流)