web

分类: web文本: web日期: 2026年6月11日 题目链接：https://ctf.show/challenges#web13-45 思考文件上传和文件包含的区别： 文件上传：写入文件，利用服务器校验漏洞，将一个不该上传的文件上传到服务器 文件包含：让服务器读取或者执行我指定的文件 对比点 文件上传 文件包含 本质 上传文件到服务器 让服务器包含某个文件 核心动作 写入 读取 / 执行 常见入口 头像、附件、图片上传 ?page=xxx、?file=xxx 关注点 后缀、MIME、文件头、解析规则 路径控制、目录穿越、包含方式 成功关键 上传的文件能否被解析执行 被包含的文件是否可控、是否被当代码执行 常见组合 图片马、.htaccess、.user.ini 本地文件包含、远程文件包含、日志包含 测试测试脚本： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575...

Web CTF 的整体考点地图拿到web题目应该怎么分析 一、Web 题的核心分析框架一般把 Web 题分成 5 层： 12345 页面交互点 请求参数点 后端语言特性 中间件/配置特性 业务逻辑漏洞 也就是说，拿到一个页面，先问自己： 12345这个页面让我输入什么？这些输入会被后端怎么处理？处理结果在哪里体现？有没有报错、回显、跳转、文件生成？后端可能是什么语言和框架？ CTF Web 的本质基本就是：用户可控输入进入了危险位置。 二、常见 Web 考点总框架1. 信息泄露类这是最基础的一类，很多题第一步都要看。 常见位置： 12345678910/source/www.zip/.git//robots.txt/.svn//index.php.bak/.DS_Store/phpinfo.php/flag/flag.php 还要看： 12345678页面源代码响应头CookieJS 文件CSS 文件注释报错信息目录扫描结果 典型考点： 12345...