ctfshow~VIP限免题目20道(保姆级解析）

奈何自己没有实力，看到免费的东西就想占点便宜，想着做都做了就出个wp吧，本人小白，不喜勿喷！

一、源码泄露

题目提示：开发注释未及时删除

题目给出了源码泄露，那咱直接看源码（右键+点击源码 or Ctrl+u）

得到flag，自信感爆棚，哈哈哈哈哈哈（开个玩笑）

ctfshow{47d48aa2-0f59-4fce-a017-8edd99db94a8}

二、前台JS绕过 

题目提示：js前台拦截 === 无效操作

这题我做的时候没察觉到什么不对劲，习惯性的Ctrl+u看了下源码就得到了flag，后来才发现这个 前台js绕过是不能右键查看源代码的。so easy！

ctfshow{0679f493-2640-4d74-813d-65f7dc79ce98}

 三、协议头信息泄露

题目提示：没思路的时候抓个包看看，可能会有意外收获

题目提出让抓个包看看，那我们直接看一下怎么个事情，直接在响应头看到了flag

ctfshow{e4df6e24-c449-437a-a689-f8aadb0c5b6d}

四、robots后台泄露

题目提示：总有人把后台地址写入robots，帮黑阔大佬们引路。

科普一下robots协议

obots文件可以获知哪些页面可以爬取，哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范，其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯，如果robots.txt文件编辑的太过详细，反而会泄露网站的敏感目录或者文件，比如网站后台路径，从而得知其使用的系统类型，从而有针对性地进行利用。

 咱直接看一下robots.txt里面有什么

有一个/flagishere.txt，咱访问看一下，得到flag

ctfshow{84f6cd9e-0280-430c-933d-1dc91e1f340e}

五、phps源码泄露 

题目提示：phps源码泄露有时候能帮上忙

尝试访问index.phps，自动下载了一个index.phps文件，打开得到flag

 ctfshow{57e3e5bd-59fc-4336-9418-5f995557ecbc}

六、源码压缩包泄露

题目提示：解压源码到当前目录，测试正常，收工 

直接访问www.zip下载zip文件，解压后得到fl000g.txt和index.php文件，但是发现这个下载下来的fl000g.txt文件是假的，再打开index.php文件看一下