网络层：数据平面

对IP与网络的基础有了初步的认知之后，我们要探索更加深入、更加复杂的内容了。首先要学习的就是BGP——边界网关协议。正是这个协议把世界从一个个局域网串联起来，形成我们众所周知的因特网，打破各个自治系统之间的隔阂，让世界互联成为可能。本实验基于华为HCIP教材以及eNSP进行模拟，通过实战对BGP形成初步认知，了解如何启动BGP、iBGP和eBGP的区别、BGP报文以及对外发送BGP路由条目。

实验拓扑

实验拓扑如图所示，其中AR1、AR2和AR3都属于AS 65001，而AR4属于AS 65002。值得注意的是，64512-65534是私有AS号。各个端口配置的IP地址将会在后面的配置命令中给出。

其中，AR2不属于BGP路由器，不设置BGP的相关功能。在AS65001内部，仅AR1和AR3构建iBGP对等体，通过Loopback接口地址建立连接；而AR1和AR４建立eBGP对等体关系，通过直连接口地址建立连接。

基础配置

我们先在各个设备上配置IP地址，如下：

1 2 3 4 5 6 7

<AR1>dis ip int brief Interface IP Address/Mask Physical Protocol GigabitEthernet0/0/0 192.168.12.1/24 up up GigabitEthernet0/0/1 172.16.14.1/24 up up GigabitEthernet0/0/2 unassigned down down LoopBack0 10.0.0.1/32 up up(s) NULL0 unassigned up up(s)

1 2 3 4 5 6 7

<AR2>dis ip int br Interface IP Address/Mask Physical Protocol GigabitEthernet0/0/0 192.168.12.2/24 up up GigabitEthernet0/0/1 192.168.23.2/24 up up GigabitEthernet0/0/2 unassigned down down LoopBack0 10.0.0.2/32 up up(s) NULL0 unassigned up up(s)

1 2 3 4 5 6

<AR3>dis ip int br GigabitEthernet0/0/0 unassigned down down GigabitEthernet0/0/1 192.168.23.3/24 up up GigabitEthernet0/0/2 unassigned down down LoopBack0 10.0.0.3/32 up up(s) NULL0 unassigned up up(s)

1 2 3 4 5 6

<AR4>dis ip int br GigabitEthernet0/0/0 unassigned down down GigabitEthernet0/0/1 172.16.14.4/24 up up GigabitEthernet0/0/2 unassigned down down LoopBack0 10.0.0.4/32 up up(s) NULL0 unassigned up up(s)

AS65001内配置OSPF（IGP）

然后我们把OSPF配置一下。如果不配OSPF，那么AR1和AR3就无法路由到彼此，那么更无从谈起BGP邻居的建立了。所以，我们要先配置OSPF。本试验在AS65001内配置IGP即可。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

<AR1>dis cur con ospf [V200R003C00] # ospf 1 area 0.0.0.0 network 10.0.0.1 0.0.0.0 network 172.16.14.0 0.0.0.255 network 192.168.12.0 0.0.0.255 # Return <AR2>dis cur con ospf [V200R003C00] # ospf 1 area 0.0.0.0 network 10.0.0.2 0.0.0.0 network 192.168.12.0 0.0.0.255 network 192.168.23.0 0.0.0.255 # Return <AR3> dis cur con ospf [V200R003C00] # ospf 1 area 0.0.0.0 network 10.0.0.3 0.0.0.0 network 192.168.23.0 0.0.0.255 # Return

这样，内部的OSPF就建立好了。可以通过这些命令复习一下OSPF是怎么配置的。通过OSPF进程和area区域，并通过network宣告参与OSPF计算的IP地址即可。

BGP配置

我们在AR1上做了这样的配置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

[AR1]bgp 65001 [AR1-bgp]router-id 10.0.0.1 [AR1-bgp]peer 10.0.0.3 as [AR1-bgp]peer 10.0.0.3 as-number 65001 [AR1-bgp]peer 10.0.0.3 connect-interface lo0 #iBGP最好用Loopback地址去建立 [AR1-bgp]dis th [V200R003C00] # bgp 65001 router-id 10.0.0.1 peer 10.0.0.3 as-number 65001 peer 10.0.0.3 connect-interface LoopBack0 # ipv4-family unicast undo synchronization peer 10.0.0.3 enable # return [AR1-bgp]q

在AR3上做了这样的配置：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

[AR3]bgp 65001 [AR3-bgp]router-id 10.0.0.3 [AR3-bgp]peer 10.0.0.1 as-number 65001 [AR3-bgp]peer 10.0.0.1 connect-interface lo0 [AR3-bgp]dis th [V200R003C00] # bgp 65001 router-id 10.0.0.3 peer 10.0.0.1 as-number 65001 peer 10.0.0.1 connect-interface LoopBack0 # ipv4-family unicast undo synchronization peer 10.0.0.1 enable # Return

BGP的配置要点在于：

主要步骤在于：

1. 启动BGP进程。其方法为bgp <as-number>
2. 配置router-id。其方法为router-id <ipv4 address>
3. 配置BGP对等体。其方法为peer <ipv4/ipv6 address> as-number <AS号（数字或者x.y形式均可）>
4. 指定发送BGP报文的源接口。默认使用报文的出接口作为源接口。
5. 配置BGP引入路由。例如network或者import-route。

iBGP建立及过程

BGP邻居查看

我们看看AR1上的BGP邻居吧：

1 2 3 4 5 6 7 8 9

<AR1>dis bgp peer BGP local router ID : 10.0.0.1 Local AS number : 65001 Total number of peers : 1 Peers in established state : 1 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.0.3 4 65001 15 15 0 00:13:40 Established 0

以及AR3：

1 2 3 4 5 6 7 8 9

<AR3>dis bgp peer BGP local router ID : 10.0.0.3 Local AS number : 65001 Total number of peers : 1 Peers in established state : 1 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.0.1 4 65001 16 17 0 00:14:02 Established 0

可以看到，AR1和AR3已经顺利建立起了iBGP邻居了。

BGP的建立过程

我们如果抓包，是可以看到建立过程的，以AR1为例：

我们筛选出来端口号是179的所有TCP包，就能看到整个交互逻辑了。我们可以看到的确两个方向都发送了TCP连接，但是AR3发起的TCP连接最终被关闭了，保留的是由AR1发起的TCP连接。而且可以看到很多互相发送keepalive报文的过程：

我们可以大概看一下Open报文长什么样：

其核心内容包括我的AS号、Hold Time和Router ID。其中保持时间是需要进行协商的，建立BGP peer需要保持这个参数一致。

我们再看一下Keepalive包，这个没有内容，只有BGP报头。

值得注意的是，双方都发送了Keepalive报文，才意味着BGP连接完成，进入Established状态！

eBGP建立

到现在，我们AS65001的iBGP连接就已经建立完毕了。接下来我们将建立AR1和AR4之间的BGP连接，即eBGP。

对于AR1，由于已经配置了router-id，无需重复配置。而且对于eBGP，最好用接口本身作为建立连接的地址，因此也无需配置connect-interface。所以我们配置如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

<AR1>sys Enter system view, return user view with Ctrl+Z. [AR1]bgp 65001 [AR1-bgp]peer 172.16.14.4 as-number 65002 [AR1-bgp]dis th [V200R003C00] # bgp 65001 router-id 10.0.0.1 peer 10.0.0.3 as-number 65001 peer 10.0.0.3 connect-interface LoopBack0 peer 172.16.14.4 as-number 65002 # ipv4-family unicast undo synchronization peer 10.0.0.3 enable peer 172.16.14.4 enable # return [AR1-bgp]q [AR1]q

对于AR4，我们还需要配置一下router-id。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

<AR4>sys Enter system view, return user view with Ctrl+Z. [AR4]bgp 65002 [AR4-bgp]peer 172.16.14.1 as-number 65001 [AR4-bgp]router-id 10.0.0.4 [AR4-bgp]dis th [V200R003C00] # bgp 65002 router-id 10.0.0.4 peer 172.16.14.1 as-number 65001 # ipv4-family unicast undo synchronization peer 172.16.14.1 enable # return [AR4-bgp]q [AR4]q

过了一会儿，我们就能看到这样的提示了：

Mar 24 2026 09:35:40-08:00 AR1 %%01BGP/3/STATE_CHG_UPDOWN(l)[0]:The status of the peer 172.16.14.4 changed from OPENCONFIRM to ESTABLISHED. (InstanceName=Public, StateChangeReason=Up)

Mar 24 2026 09:35:41-08:00 AR4 %%01BGP/3/STATE_CHG_UPDOWN(l)[0]:The status of the peer 172.16.14.1 changed from OPENCONFIRM to ESTABLISHED. (InstanceName=Public, StateChangeReason=Up)

这就说明这个eBGP peer邻居也建立好了。

我们可以分别在AR1和AR4上执行dis bgp peer看一眼：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

<AR1>dis bgp peer BGP local router ID : 10.0.0.1 Local AS number : 65001 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.0.3 4 65001 972 974 0 16:10:40 Established 0 172.16.14.4 4 65002 3 5 0 00:01:21 Established 0 <AR4>dis bgp peer BGP local router ID : 10.0.0.4 Local AS number : 65002 Total number of peers : 1 Peers in established state : 1 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 172.16.14.1 4 65001 3 3 0 00:01:45 Established 0

接着，我们让AR4向AS65001宣告路由。我们可以先看看AR4的路由表：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

<AR4>dis ip ro Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Tables: Public Destinations : 8 Routes : 8 Destination/Mask Proto Pre Cost Flags NextHop Interface 10.0.0.4/32 Direct 0 0 D 127.0.0.1 LoopBack0 127.0.0.0/8 Direct 0 0 D 127.0.0.1 InLoopBack0 127.0.0.1/32 Direct 0 0 D 127.0.0.1 InLoopBack0 127.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0 172.16.14.0/24 Direct 0 0 D 172.16.14.4 GigabitEthernet0/0/1 172.16.14.4/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 172.16.14.255/32 Direct 0 0 D 127.0.0.1 GigabitEthernet0/0/1 255.255.255.255/32 Direct 0 0 D 127.0.0.1 InLoopBack0

BGP这个协议是不会主动对外广播路由条目的，除非你主动要求了。也就是说，需要用network或者import-route进行对外宣告，而且需要遵守BGP条目的产生原则。

然后我们在AR4上执行如下配置：

1 2 3

[AR4]bgp 65002 [AR4-bgp]network 10.0.0.4 32 [AR4-bgp]import-route static

这是在把路由注入到BGP中。我们可以在AR4上加入好几条静态路由，看看能不能发送过去。我们添加的静态路由如下，并进行了抓包：

1 2 3 4

[AR4]ip route-static 172.16.0.0 24 172.16.14.5 [AR4]ip route-static 172.16.1.0 24 172.16.14.5 [AR4]ip route-static 172.16.2.0 24 172.16.14.5 [AR4]ip route-static 172.16.3.0 24 172.16.14.5

我们上AR1再看一下：

1 2 3 4 5 6 7 8 9 10

<AR1>dis bgp peer BGP local router ID : 10.0.0.1 Local AS number : 65001 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 10.0.0.3 4 65001 1013 1020 0 16:51:22 Established 0 172.16.14.4 4 65002 49 46 0 00:42:03 Established 5

请注意，通过172.16.14.4这个peer学习到的路由条目是5了！说明eBGP广播生效了！

接着，我们分别上AR1和AR3看看是不是这么回事：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

<AR1>dis bgp ro BGP Local router ID is 10.0.0.1 Status codes: * - valid, > - best, d - damped, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Total Number of Routes: 5 Network NextHop MED LocPrf PrefVal Path/Ogn *> 10.0.0.4/32 172.16.14.4 0 0 65002i *> 172.16.0.0/24 172.16.14.5 0 0 65002? *> 172.16.1.0/24 172.16.14.5 0 0 65002? *> 172.16.2.0/24 172.16.14.5 0 0 65002? *> 172.16.3.0/24 172.16.14.5 0 0 65002? <AR3>dis bgp ro BGP Local router ID is 10.0.0.3 Status codes: * - valid, > - best, d - damped, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Total Number of Routes: 5 Network NextHop MED LocPrf PrefVal Path/Ogn *>i 10.0.0.4/32 172.16.14.4 0 100 0 65002i *>i 172.16.0.0/24 172.16.14.5 0 100 0 65002? *>i 172.16.1.0/24 172.16.14.5 0 100 0 65002? *>i 172.16.2.0/24 172.16.14.5 0 100 0 65002? *>i 172.16.3.0/24 172.16.14.5 0 100 0 65002?

没错，都学到路由信息了！一条lo0通过network宣告，4条静态通过import-route宣告。我们还捕捉到了至关重要的Update包：

可以看到，相关的更新信息都在这里实现的。至此，我们的BGP基础配置就顺利完成了！

最后，我们看一下聚合路由的配置。因为AR4发布了好多/24的路由，条目不少，如果能聚合在一起，可以大幅降低路由条目数量。

1	[AR4-bgp]aggregate 172.16.0.0 22 detail-suppressed

我们执行了路由聚合。这将导致对外发布的路由不再是明细路由，而是聚合后的结果。然后我们去AR3上看一下，发现的确如此：

1 2 3 4 5 6 7 8 9 10 11 12 13

<AR3>dis bgp ro BGP Local router ID is 10.0.0.3 Status codes: * - valid, > - best, d - damped, h - history, i - internal, s - suppressed, S - Stale Origin : i - IGP, e - EGP, ? - incomplete Total Number of Routes: 2 Network NextHop MED LocPrf PrefVal Path/Ogn *>i 10.0.0.4/32 172.16.14.4 0 100 0 65002i *>i 172.16.0.0/22 172.16.14.4 100 0 65002?

所以，路由聚合的作用就是让BGP对外只宣告聚合后的条目，而不宣告明细路由。我们可以看到UPDATE条目：

以及新增路由：

这就是BGP路由条目的“一拆一装”！

结语

至此，我们已经顺利完成了基础BGP的搭建，也看到了BGP路由是如何宣告出去的。目前应该对BGP的概念有所了解，知道iBGP、eBGP和IGP的区别和联系，之后应当在现网中加深理解，为后续路由反射、路径属性和路由优选打下坚实的基础。

]]> https://www.caiguu.cn/network/bgp/bgp_basic/ 2026-03-24T16:00:00.000Z

对IP与网络的基础有了初步的认知之后，我们要探索更加深入、更加复杂的内容了。首先要学习的就是BGP——边界网关协议。正是这个协议把世界从一个个局域网串联起来，形成我们众所周知的因特网，打破各个自治系统之间的隔阂，让世界互联成为可能。本实验基于华为HCIP教材以及eNSP进行]]>

2026-03-25T11:18:11.894Z Jack Zhang 我们正式进入Web攻防的学习！首先学习的第一个专题是信息泄露。目前的学习原则是，按照技能树进行推进，并通过这些题目掌握常见工具的使用方法。

题单

本次题目来自CTF Hub的技能树的Web->信息泄露部分，包括目录遍历、PHPINFO、备份文件下载、Git泄露、SVN泄露和HG泄露。

目录遍历

题目

打开之后有一个按钮，写着“点击开始寻找flag”。点击一下，给了我们一个/flag_in_here的文件夹。显然这是需要进行目录遍历了。当然去手动一个一个试肯定没问题，但如果文件很庞大呢？所以使用工具：dirserach，先扫一遍。由于我们重点关注特定的状态码，因此可以用下面的命令：

1	dirserach -u http://<靶场URL>/flag_in_here -i 200,301,302,403

这样就可以让结果显示得比较简单，方便观察。

这样其实就锁定到了两个文件里，分别在2和4中。我们手动进去找，总能找到。果然在这里：

flag就是ctfhub{4a3c1a58ac30322ea60e1af0}。官方题解其实给得特别简单，直接手动去搜就行了！当然，我看也有人写了个python脚本，挨个去找。

PHPINFO

题目

这道题目进去以后，可以查看phpinfo，flag就藏在这里。

这道题应该是想说明phpinfo的重要性，所以我们也扫一下，看这个文件会不会被提示出来。

果然这个文件能够被提示出来！也就是说，我们需要关注这种搜索出来的、作用比较大的文件。

备份文件下载

网站源码

题目描述：当开发人员在线上环境中对源代码进行了备份操作，并且将备份文件放在了 web 目录下，就会引起网站源码泄露。

打开这个页面，给了一些提示。不过不管咋样，先扫一遍。当然，这个页面给的这些提示还是值得记录下来的：

常见的网站源码备份文件后缀

• tar
• tar.gz
• zip
• rar

常见的网站源码备份文件名

• web
• website
• backup
• back
• www
• wwwroot
• temp

还真扫到了：

那么，看来这个备份文件不简单！我们给它下载下来！

可是，当我们下载下来，发现这三个文件都并不直接包含flag。有一个文件flag_1768531291.txt直接在文件里写道，Where is flag?，还开了嘲讽？我们要不按着这个路径回现网看看呢？果然！就是这样！找到flag了！

bak文件

题目描述：当开发人员在线上环境中对源代码进行了备份操作，并且将备份文件放在了 web 目录下，就会引起网站源码泄露。

打开题目，醒目的一句话：Flag in index.php source code.。那我们就先找找这个文件呗？没有！这就是index.php。不管了，先扫一遍吧。

扫到了，那么我们看看这个备份文件会不会有提示？

下载下来这个文件，其内容如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14

<!DOCTYPE html> <html> <head> <title>CTFHub 备份文件下载 - bak</title> </head> <body> <?php // FLAG: ctfhub{75383dc2840905aced557092} echo "Flag in index.php source code."; ?> </body> </html>

找到flag！本题搞定！

vim缓存

题目描述：当开发人员在线上环境中使用 vim 编辑器，在使用过程中会留下 vim 编辑器缓存，当vim异常退出时，缓存会一直留在服务器上，引起网站源码泄露。

打开页面，依旧提示flag的位置。当然，肯定没那么简单。直接开扫。

看起来并没有扫到什么有价值的信息。那么接下来，试试vim缓存吧。其文件名经常是：

1 2 3 4 5

正常文件：index.php vim 缓存：.index.php.swp .index.php.swo .index.php.swn index.php~（备份）

恰好在.index.php.swp中找到了，然后我们可以运行以下命令：

1 2	file index.php.swp strings index.php.swp | grep -i "ctfhub"

找到flag了！

vim缓存解析

当你用 vim 编辑文件时，会产生三种类型的文件：

1 2 3 4

原始文件：index.php ├── 交换文件 (.swp) —— 编辑时产生的临时文件 ├── 备份文件 (.bak) —— 保存时的备份 └── 撤销文件 (.un~) —— 用于撤销操作

交换文件 (Swap Files)

1 2 3 4

文件名格式：.filename.swp, .filename.swo, .filename.swn 产生时机：打开文件时立即创建 作用：保存编辑中的内容，防止数据丢失 特点：文件存在就说明正在编辑或异常退出

备份文件 (Backup Files)

1 2 3 4

文件名格式：filename~, filename.bak 产生时机：保存文件时（如果设置了备份） 作用：保留修改前的版本 特点：取决于 vim 配置

撤销文件 (Undo Files)

1 2 3

文件名格式：.filename.un~, .filename.un.swp 产生时机：启用持久撤销功能时 作用：保存编辑历史，支持跨会话撤销

viminfo 文件

1 2 3

文件名：.viminfo 位置：用户主目录 作用：记录命令行历史、搜索历史等

为什么会存在.swp文件？一般是因为没有正常退出vim。如果正常退出了，那么这个.swp文件是会被删除掉的。而且这个不一定能被扫出来，所以如果感觉像是文件泄露的话，可以思考一下是不是和vim有关。

.DS_Store

题目描述：.DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。

相同的流程，先扫一遍。

扫出来了，直接下载这个文件，并调用工具去分析。

找到了一个txt文件，看看是什么，打开就是flag！本题搞定！

Git泄露

Git泄露

漏洞是怎么产生的？

当开发者使用 Git 进行版本控制时，会在项目根目录生成一个 .git 隐藏文件夹，里面记录了：

• 所有的代码历史版本
• 每次提交的改动（diff）
• 提交者的信息
• 甚至可能包含被删除的敏感文件

如果网站上线时，直接把 .git 文件夹也上传到了服务器，且没有做访问限制，那么任何人都可以通过 http://target.com/.git/ 直接访问到这个目录 。

攻击者能干什么？

攻击者可以利用这个漏洞：

1. 下载整个 .git 目录
2. 重建完整的项目源代码
3. 查看提交历史（commit log）
4. 恢复被删除的敏感文件（比如 flag）
5. 对比版本差异，找到隐藏的信息

GitHack工具

GitHack 的工作原理是 ：

1. 解析远程 .git/index 文件，找到所有文件名和对应的 SHA1 值
2. 根据 SHA1 去 .git/objects/ 下载对应的文件
3. 用 zlib 解压，按原始目录结构重建源代码

优点：不需要在本地安装 Git，只要有 Python 就能跑。

Log

题目描述：当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。

打开这道题，什么都没有，可以先扫一遍。直接就扫出来了一大堆和Git相关的文件。

然后根据题目提示使用GitHack工具，其下载地址为https://github.com/BugScanTeam/GitHack，使用方法是直接运行`GitHack.py`，无需安装其他依赖项。

既然扫到了这么多git相关的内容，那么我们运行如下命令：

1	python GitHack.py http://<target>/.git

但是我们会发现，BugScan的GitHack只支持Python2，在我们的Python3环境下已经是不可用状态了。所以我们找了一个替换工具：GitHacker，地址为https://github.com/WangYihang/GitHacker。

1 2	pip install GitHacker githacker --url http://<target>/.git --output-folder <OUTPUT_FOLDER>

运行完此工具后，会在指定文件夹下看到.git文件，我们就可以在这个文件夹里寻找一些有用的东西了。

最常见的题型就是查看git log。

所以我们可以看到8dcf那次提交是存在flag的！我们现在需要变更到8dcf这次提交！

1	git reset --hard <commit_id>

变更之后，就发现了flag文件！本题搞定！

Stack

题目描述：当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。

git stash 是 Git 的一个非常有用的命令，用于临时保存当前工作目录的修改，让你可以切换到其他分支（或者做其他操作），稍后再回来恢复这些修改。

通俗理解：

你正在写代码，写到一半突然要去修一个紧急 bug，但又不想提交现在的半成品。于是你 git stash 把当前修改存到“抽屉”里，等修完 bug 再 git stash pop 从抽屉里拿出来继续写。

这题我们也可以先扫一下。也是扫出来了好多和Git相关的文件。所以我们还是用GitHacker下载一下。下载后，查看git log，和上一道题目一样，所以我们也需要先恢复到那个分支。但是！就在那个类似的文件下，居然内容变了，开了嘲讽：

问得好，where is flag？既然最常见的git log不行，就要考虑git stash了。

1 2 3

git stash list git stash show stash@{0} git stash show -p stash@{0}

返回

stash@{0}: WIP on master: 42e8390 add flag

这就是很关键的信息，我们接下来查看一下这个stash：

找到flag了！

这个题目可以说是还用了假flag来增加挑战性。值得注意的是git stash是全局的，因此无需切换分支，可以直接执行这个命令。也就是说，出题者加了那个txt后，把内容是where is flag的版本正式提交到了master，后来把这个文件内容改成了正确的flag，但并没实际提交，而是使用stash做了个暂存。这就是我们能在stash中看到它的原因。

Index

题目描述：当前大量开发人员使用git进行版本控制，对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。请尝试使用BugScanTeam的GitHack完成本题。

什么是 Git Index？

Index（也叫暂存区）是 Git 的三个组成部分之一：

1 2	工作区 (Working Directory) → 暂存区 (Index) → 版本库 (Repository) 你修改的文件 git add 后的位置 git commit 后的位置

Index 里存的是：下一次要提交的内容快照。

依旧先扫一下。还是输出了很多git相关的，因此用GitHacker工具去下载一下。然后git log发现当前版本已经是增加了flag的。直接ls发现文本文件，这个就是flag了。

这个可能是因为GitHacker直接帮我从暂存区里恢复了文件。如果工具没有这么做，那么需要手动执行：

1 2 3 4 5 6 7 8 9 10 11

# 1. 先看暂存区有什么文件 git ls-files --stage # 输出： # 100644 fcdc85b6da930352e99e604b774f8a7dfbb97b6c 0234392428823689.txt # 2. 用 SHA1 取出文件内容 git cat-file -p fcdc85b6da930352e99e604b774f8a7dfbb97b6c # 3. 直接就看到 flag 了！ ctfhub{XXX}

SVN泄露

题目描述：当开发人员使用 SVN 进行版本控制，对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。

SVN（Subversion）是程序员常用的集中式版本控制系统。当你使用 svn checkout 检出代码时，会在项目目录下自动生成一个 .svn隐藏文件夹，里面记录了：

• 所有文件的版本历史
• 源代码的完整副本
• 提交记录、作者信息
• 服务器地址、用户名等元数据

先扫一下。能够扫出来和svn相关的东西。

可以扫到好多和SVN相关的东西，所以本题肯定是考虑SVN泄露了。

对于这种SVN的题，第一步是确认版本，高版本和低版本对应着不同的方法。我们先访问一下http://http://challenge-15c62b156835dbb5.sandbox.ctfhub.com:10800/.svn/entries。如果文件内容是一个数字，如12，那就是高版本。如果返回类似如下内容，就是低版本：

1 2 3 4

dir https://svn-server... index.php flag.txt

低版本的话就很简单了，只需要下载curl http://目标/.svn/text-base/flag.txt.svn-base目标文件就行了。

但如果是高版本的话，就会麻烦很多，建议使用工具来做。

DVCS-Ripper工具：https://github.com/kost/dvcs-ripper

这个工具是Perl构造的，能够下载wc.db并解析；根据哈希值构造下载路径并恢复完整的目录结构。

1	perl rip-svn.pl -v -u http://<target>/.svn

我们运行这个工具，让它解析一下。然后我们发现在当前文件夹下多了个.svn，这就是下载下来的。

我们可以运行tree命令看一下这个.svn的结构：

1 2 3 4 5 6 7 8 9 10 11

.svn ├── entries ├── format ├── pristine │   ├── 08 │   │   └── 08171693cbd333701b525415321f2a29715066c2.svn-base │   └── bf │   └── bf45c36a4dfb73378247a6311eac4f80f48fcb92.svn-base ├── text-base ├── tmp └── wc.db

其中，pristine 是 “原始的、未修改的” 的意思。在 SVN 中，pristine 目录就是 “文件的原始备份仓库”。SVN 会把所有文件的原始备份，用 SHA1 哈希值 作为文件名，存放在 pristine/ 目录下。

我们可以直接用grep命令在这里搜索一下有没有flag：

1 2	grep -a -r "flag\|ctfhub\|Cyberpeace" pristine/ pristine/08/08171693cbd333701b525415321f2a29715066c2.svn-base:ctfhub{51888007d75837dc89cbf1cb}

本题搞定！

HG泄露

题目描述：当开发人员使用 Mercurial 进行版本控制，对站点自动部署。如果配置不当,可能会将.hg 文件夹直接部署到线上环境。这就引起了 hg 泄露漏洞。

我们还是先扫一遍。

扫完之后，发现基本都是HG相关的，考虑HG泄漏。

值得注意的是，dvcs-ripper自带hg分析工具。

1 2 3

perl rip-hg.pl -u http://challenge-6040f85097a0280f.sandbox.ctfhub.com:10800/.hg/ [i] Getting correct 404 responses cannot find hg: No such file or directory at rip-hg.pl line 140.

我们用grep搜索不到flag相关的内容，我们用grep manifest先查看一下。

1 2 3 4 5 6

(base) caiguu@JACKERZHANG-MB0 .hg % hg manifest 50x.html flag_28468252.txt index.html (base) caiguu@JACKERZHANG-MB0 .hg % cat flag_28468252.txt cat: flag_28468252.txt: No such file or directory

因为dvcs-ripper只下载元数据，但我们不妨直接在网络环境下访问这个文件：

本题搞定。后续如果遇到HG泄露相关的题目还会继续深入探索一下。而且官方题解也说了“不要过分迷信工具。”工具只能给提供一个方向，具体的细节，不要放弃动手解决！

题型总结

至此，把CTF Hub中关于信息泄露的题目全都过完了。包括目录遍历、PHPINFO、备份文件下载、Git泄漏、SVN泄露和HG泄漏。主要的思路就是先F12看看源代码有没有东西，然后拿dirsearch扫一遍，看有没有敏感文件。除了vim缓存以外，其他的泄漏基本都能扫出来。如果看到了扫出来的东西，那么使用对应工具去进行处理就好了。也看到了一些弯弯绕，例如git当前版本开了嘲讽，但是在暂存区里就是正解。所以如果能定位到信息泄露的话，结合相关的工具去多试一试，一般就能找到结果了。

这也是我学习CTF的第一个专题，进展还是很快的。万事开头难，我觉得这个开头可以说是非常不错了！

]]> https://www.caiguu.cn/CTF/web-attack-defense/ctf-info-leakage/ 2026-03-04T16:00:00.000Z

我们正式进入Web攻防的学习！首先学习的第一个专题是信息泄露。目前的学习原则是，按照技能树进行推进，并通过这些题目掌握常见工具的使用方法。

题单<]]>

2026-03-05T03:02:57.647Z Jack Zhang 在进行Web攻防之前，有必要对HTTP的基础进行巩固，掌握必备的基础技能，为面对更多更复杂的问题打下基础。

题目列表

题目均来自于CTF Hub，在技能树->Web->Web前置技能->HTTP协议中即可获取到本题单。

• Cookie
• 请求方式
• 302跳转
• 基础认证
• 响应包源代码

Cookie

题目描述：Cookie欺骗、认证、伪造

本题点开页面，提示“只有管理员才能访问”，然后F12看发送的请求，里面有一个Cookie选项，其中内容是admin=0。那我们发送一个Cookie内容为admin=1的包即可解开本题。

请求方式

题目描述：HTTP 请求方法, HTTP/1.1协议中共定义了八种方法（也叫动作）来以不同方式操作指定的资源。

HTTP/1.1八种请求方法

我们先了解一下是哪几种请求方法。

方法	是否幂等	是否有请求体	是否有响应体	主要用途
GET	是	否	是	获取资源
POST	否	是	是	提交数据
PUT	是	是	否	上传文件
DELETE	是	否	否	删除资源
HEAD	是	否	否	获取元信息
OPTIONS	是	否	是	查询支持方法
TRACE	是	否	是	回显请求
CONNECT	否	否	是	建立隧道

题目解析

打开题目，显示的内容是需要使用CTFH**B方法进行请求页面，但是这个不好在HackBar或者POSTMAN里改。不过有一种办法，那就是用CURL命令。

直接就找到Flag了！所以像这种自定义访问方法的，可以直接考虑用CURL工具。

CURL工具

curl 是一个利用 URL 语法在命令行下工作的文件传输工具，支持 HTTP、HTTPS、FTP 等几十种协议。在 CTF 中，我们主要用它来发送自定义的 HTTP 请求。

参数	作用	示例
-X	指定请求方法	curl -X PUT http://target.com/
-H	添加请求头	curl -H "Referer: google.com" http://target.com/
-d	发送 POST 数据	curl -d "key=val" http://target.com/
-b	发送 Cookie	curl -b "name=value" http://target.com/
-c	保存 Cookie	curl -c cookies.txt http://target.com/
-I	只显示响应头	curl -I http://target.com/
-i	显示完整响应信息	curl -i http://target.com/
-v	显示详细信息	curl -v http://target.com/
-o	保存到文件	curl -o output.txt http://target.com/
-L	跟随重定向	curl -L http://target.com/
-k	允许不安全的 SSL	curl -k https://target.com/

302跳转

302重定向

当你在浏览器访问一个网址，服务器返回302状态码时，意味着：

“你请求的资源暂时在别的地方，请去这个新地址访问”

浏览器收到302响应后，会自动跳转到服务器在Location头中指定的新URL。

1 2 3 4 5 6 7 8 9 10 11

客户端（浏览器） 服务器 | | |---- 请求 /old-page -----> | | | |<--- 302 Found ------------| | Location: /new-page | | | |---- 请求 /new-page -----> | | | |<--- 200 OK ---------------| | 返回新页面内容 |

点击页面里的“Give me Flag”，还会跳转到当前页面，而不能访问到index.php。我们打开F12看看：

说明这个请求被重定向到了index.html，于是index.php中隐藏的内容无法被显示。

但是，CURL是可以禁止重定向的，如果用CURL，直接秒了！

为什么会这样呢？因为浏览器和curl工具对于302行为的处理不同。

工具	对 302 重定向的默认行为	结果
浏览器	自动跟随重定向	你被转到 index.html，看不到 index.php 的内容
curl	不自动跟随重定向	直接显示 index.php 的原始响应（包含 Flag）

我们可以更进一步，展示完整的响应信息：

也就是说，标准的302响应信息不包括这个响应体，而是直接去告知浏览器做跳转，因此大家也都看不到这些包的内容，且浏览器也不会保留，F12也看不到。但是curl的话，这件事就会现原形了，所以我们就能得到藏在响应体里的flag。

基本认证

什么是基本认证

基本认证是 HTTP 协议中最简单、最原生的一种身份验证机制。它通过在 HTTP 请求头中携带用户名和密码，来证明客户端的身份。

当你访问一个需要基本认证的网站时，浏览器会弹出一个登录框，这就是 Basic Authentication 的典型表现。

请求流程也很简单：

1 2 3 4 5 6 7 8 9 10 11 12 13

客户端（你） 服务器 | | |---- 请求 /admin --------> | | | |<--- 401 Unauthorized -----| | WWW-Authenticate: Basic| | | |---- 请求 /admin --------> | | Authorization: Basic | | (加密后的用户名:密码) | | | |<--- 200 OK ---------------| | 返回/admin内容 |

• 用户名和密码：用冒号连接（username:password）
• 编码方式：Base64 编码（不是加密！）
• 传输位置：放在请求头的 Authorization 字段

然后放到请求头里，大概就是这样了：

1 2 3

GET /admin HTTP/1.1 Host: target.com Authorization: Basic YWRtaW46MTIzNDU2

题目解析

首先点击链接，弹出登录页面，这就是基本认证：

同时，还有一个附件需要下载。里面列出了最常见的弱密码，看来是想让我们去做一个爆破。

那我直接按照admin进行尝试，终于，在尝试到qwerty的时候登录进来了，直接获取到了flag。

不过虽然这个题目很简单，但是我们还是值得看一看基础认证长什么样的。

这个是一个认证失败的请求：

可以看到，在请求头中有一个Authorization，这个就是我们基本认证的发送方式。

而响应中，也给了一些提示：Do u know admin?这提示了我们用户名需要是admin。realm一个指示要使用的用户名/密码的字符串。至少应该包括主机名，但是可能指示具有访问权限的用户或组。

然后按照密码本去爆破，终于得到了200 OK的包，验证通过了：

所以这就是基本认证的基础题目。

响应包源代码

打开题目是一个贪吃蛇小游戏。不管他，打开F12，答案直接出来了。

这是最简单的一种题目，直接打开F12查看页面源代码，就有答案了！

总结

这部分的内容相对来说比较简单，具备Web的基础即可轻松搞定。通过这几道题对Web尤其是HTTP的基础知识进行复习，可以为以后打下不错的基础。当前我的学习路线就是在题目中同步点亮技能树，例如不会专门去一次性搞定所有工具，而是根据某个题目的需要，如果我认为需要某个工具来帮我做一件事，那么我就会学习使用这个工具。我想这是一个比较能够长期发展的方案。

]]> https://www.caiguu.cn/CTF/web-attack-defense/ctf-http/ 2026-03-03T16:00:00.000Z

在进行Web攻防之前，有必要对HTTP的基础进行巩固，掌握必备的基础技能，为面对更多更复杂的问题打下基础。

题目列表

题]]>

2026-03-04T06:10:29.829Z Jack Zhang 今天开个新坑吧！其实这个坑是我从很早之前就一直想入的，但苦于一直没有合适的机会。但在现在，做数据网管已有一段时间，且对基础业务相对熟练以后，便具备了向这个方向靠拢的绝佳机会。于是找来了CTF做一个入门，先看看比较简单的CTF入门题单，看看以我当前的知识储备能不能解出来，也算是对于网络安全方向的一次初步探索。

题单

题单是攻防世界的Web方向入门题单，链接是https://adworld.xctf.org.cn/challenges/problem-set-index?id=25。

题目内容包括以下10道题目。

题目编号	题目名称
GFSJ0474	view_source
GFSJ0475	get_post
GFSJ0476	robots
GFSJ0477	backup
GFSJ0478	cookie
GFSJ0479	disabled_button
GFSJ0480	simple_js
GFSJ0481	xff_referer
GFSJ0482	weak_auth
GFSJ0484	command_execution
GFSJ0485	simple_php

GFSJ0474 view_source

题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。

我们进入靶机，发现页面中只有一句话，同时这个页面屏蔽了右键功能。

这个其实问题不大，只要F12即可，或者显示->开发者->开发者工具即可。

打开开发者工具，我们会发现Flag就在这里等着我们呢！

cyberpeace{c3e796156c7ad83ffe6eb19a009dbd77}我们把这个flag输入，解题成功！

GFSJ0475 get_post

题目描述：X老师告诉小宁同学HTTP通常使用两种请求方法，你知道是哪两种吗？

这道题目的描述都提示了我们，需要使用get和post请求来进行相关操作。我们进入靶机，可以看到它其实已经给了我们提示：

建议安装浏览器扩展HackBar，具备丰富功能。

然后点击EXECUTE，就会看到这样的页面：

所以我们接下来要通过POST方法发个请求：

看得出来我换到了Firefox浏览器，并且用了Firefox的HackBar扩展。可以使用2.1.3版本的，这个是免费使用的。这样我们就得到了FLag！本题搞定！

GFSJ0476 robots

题目描述：X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。

这道题很明显是需要我们找到robots.txt这个文件的，这是用于限制爬虫行为的文件。所以，获取靶场之后直接在根目录下输入/robots.txt就可以了：

然后我们看到了这个文件：f1ag_1s_h3re.php，也就是说只要我们来访问这个文件，就能找到flag的位置了！

接下来我们直接在根目录下访问这个文件。

顺利找到flag，本题搞定。

GFSJ0477 backup

题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！

进入靶场，实际上页面已经提示得非常清楚了！

这个文件名是什么呢？可以直接搜索一下，这个文件的备份叫做index.php.bak。所以我们试着直接访问这个文件，会发现直接把这个文件给我们下载下来了。那就可以直接打开这个文件了：

如果使用macOS自带的文本编辑打开请注意，需要在设置里关闭将HTML自动打开为网页的选项，这样才能直接显示源代码。我们这样就得到了flag，本题搞定！

GFSJ0478 cookie

题目描述：X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？’

这个题目也很直白地告诉了大家需要找cookie。

Cookie就是访问网站时会存放在浏览器当中的、包含用户相关信息的键值对。主要用于会话管理、个性化设置以及追踪和记录。

如果我们打开F12追踪网络，可以轻松地发现Cookie的存在：

这个告诉了我们请访问cookie.php文件，所以我们去访问一下：

然后它提示我们看HTTP的响应消息，在响应头里有一个字段叫做Flag，这个就是我们要找的内容！本题搞定！

值得注意的是，服务器会通过Set-Cookie的方法来设置存放在浏览器当中的Cookie，然后浏览器再把这个Cookie通过请求头的方式发送给服务器，这就是通过Cookie进行交互的方案。

GFSJ0479 disabled_button

题目描述：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

实际上这个很简单，通过F12把按钮禁用给恢复掉就可以按下去了。

把这个disabled=""删掉就可以按下去了。

找到flag！本题搞定！

GFSJ0480 simple_js

题目描述：小宁发现了一个网页，但却一直输不对密码。(Flag格式为 Cyberpeace{xxxxxxxxx} )

这个题目看起来和js有关，我们先进靶场看看：

看起来需要输入一个password，但是怎么找到呢？F12看看。

在head里发现了这样一段代码：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

function dechiffre(pass_enc){ var pass = "70,65,85,88,32,80,65,83,83,87,79,82,68,32,72,65,72,65"; var tab = pass_enc.split(','); var tab2 = pass.split(',');var i,j,k,l=0,m,n,o,p = "";i = 0;j = tab.length; k = j + (l) + (n=0); n = tab2.length; for(i = (o=0); i < (k = j = n); i++ ){o = tab[i-l];p += String.fromCharCode((o = tab2[i])); if(i == 5)break;} for(i = (o=0); i < (k = j = n); i++ ){ o = tab[i-l]; if(i > 5 && i < k-1) p += String.fromCharCode((o = tab2[i])); } p += String.fromCharCode(tab2[17]); pass = p;return pass; } String["fromCharCode"](dechiffre("\x35\x35\x2c\x35\x36\x2c\x35\x34\x2c\x37\x39\x2c\x31\x31\x35\x2c\x36\x39\x2c\x31\x31\x34\x2c\x31\x31\x36\x2c\x31\x30\x37\x2c\x34\x39\x2c\x35\x30")); h = window.prompt('Enter password'); alert( dechiffre(h) );

我们先大概读一读这个代码。其实这个函数很有问题，首先dechiffre函数获取一段字符串，这个字符串除了获取长度以外，好像什么用都没有！你看，后面的处理全都是用pass做的，说明你输入的东西没有任何作用。相当于它一直在处理pass这个硬编码的字符串。我们看这个pass很像ASCII码，所以不妨做个转换，得到FAUX PASSWORD HAHA，它还开了嘲讽！而我们不管输入什么，最终的输出都是这段嘲讽文字。所以说我们不能被困在上面看似复杂的逻辑中。但是我们关注到底下有一段十六进制，看看有没有突破口。

我们先把十六进制转换成十进制，得到：55,56,54,79,115,69,114,116,107,49,50。这个看起来又像是ASCII码的组合了，所以我们再次转换，得到：786OsErtk12。难道这个就是flag吗？再结合前面的提示，我们拼装成Cyberpeace{786OsErtk12}，提交，正确！本题搞定！

回顾这道题目，首先就是要判断出来上面的代码一直都在误导你，然后找到可疑的十六进制串，再对它进行一次十六进制转ASCII，发现是个十进制串，再次执行十进制转ASCII，并包装上开头的字符串，就得到了本题的flag。

GFSJ0481 xff_referer

题目描述：X老师告诉小宁其实xff和referer是可以伪造的。

我们首先要明确什么是XFF和Referer。

XFF(X_Forwarded_For)

这个请求头用于识别通过HTTP代理或者负载均衡器连接到Web服务器的客户端原始IP地址。例如：

1	X-Forwarded-For: 203.0.113.195, 70.41.3.18, 150.172.23.5

表明客户端真实 IP 是 203.0.113.195，经过了两个代理服务器（70.41.3.18 和 150.172.23.5）。

但是XFF是可以伪造的，不能完全信任。

Referer

Referer 请求头告诉服务器当前请求是从哪个页面链接过来的（即来源页面 URL）。例如：

1	Referer: https://www.google.com/search?q=网络安全

表明这个页面是通过https://www.google.com/search?q=网络安全找到的。

解题

明确了这两个背景知识，我们就可以解题了。

这个简单，我们直接伪造一个XFF，就能让它的源IP是这个了！

伪造之后直接EXECUTE，如下：

说明我们还需要修改一下referer。改！

得到了flag，本题搞定！

GFSJ0482 weak_auth

题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。

难道是弱密码？我随手懵了一个admin、123456：

竟然直接进来了？！

看来就是弱密码暴力破解，本题搞定！

但是实际上本题不应该靠猜，而是应该靠密码本去暴力撞。不过本博客是体验博客，所以弱口令这个的规范做法还会单开一个文章来详细讲讲！

GFSJ0484 command_execution

题目描述：小宁写了个ping功能,但没有写waf,X老师告诉她这是非常危险的，你知道为什么吗。

我们进入靶场，发现是个ping功能。

我们试一下ping一个127.0.0.1，看看什么反馈：

看起来是执行了一个系统的命令。那如果我利用&&执行多个命令，且他又没做安全措施，那不就炸了？

我们发现这里的确存在问题！我们可以执行其他命令了！那这样就很危险了！

我们接下来可以试着执行一下搜索flag的命令，即find / -name "*flag*"，看看有没有对应文件。

然后我们在最底下发现了这么个文件：/home/flag.txt，就它了！

找到flag了！本题搞定！

GFSJ0485 simple_php

题目描述：小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。

这道题看起来是需要在给定的php代码中寻求突破口，看看能不能撞出来我们想要的东西。题目中给到了这样的代码：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

<?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?>

哪怕我不懂PHP，我也应该具备解出来这道题的能力——在计算机和网络领域我并不是零基础。我们发现，这段代码会接收两个变量a和b，然后对a和b做了一些逻辑判断，并返回两个flag变量。

a需要是0，同时还不能是false，这要怎么做？这涉及到PHP的一个特性，那就是弱类型比较。也就是说，如果a是”0”，就既可以满足$a==0，又满足$a本身不是false。

而b呢，不许是纯数字，还要大于1234。这涉及到PHP的另一个特性，那就是如果b是一串数字+一些字母，那就满足既不是纯数字，又在这个比较中大于1234。这些利用到的PHP特性会在后面专门学习，这里仅做一个了解。

所以我们可以构造请求了：

找到flag了！本题搞定！

结语

就在刚刚，我把CTF的Web入门题单的题目过了一遍，绝大多数自己就能直接做出来，毕竟还是有不少在网络领域的基础知识的积累。而有的题目需要参考一下其他人的Writeup或者了解一些额外的知识。但无论如何，我认为通过CTF去学习网络安全，对我目前的阶段来说，比直接系统性学习要更实在得多——我具备相关的基础，但缺乏实战经验。而无论这个题单多么简单，迈出这一步去写了第一个属于自己的Writeup就是好的。我也期待能够以今天的这次探索和这篇博文作为我进入网络安全领域的敲门砖，更期待着以后能够探索到更精彩的世界。

]]> https://www.caiguu.cn/CTF/web-attack-defense/hello-ctf/ 2026-03-02T16:00:00.000Z

今天开个新坑吧！其实这个坑是我从很早之前就一直想入的，但苦于一直没有合适的机会。但在现在，做数据网管已有一段时间，且对基础业务相对熟练以后，便具备了向这个方向靠拢的绝佳机会。于是找来了CTF做一个入门，先看看比较简单的CTF入门题单，看看以我当前的知识储备能不能解出来，也算]]>

2026-03-03T06:00:34.412Z Jack Zhang 前言

时光真的好快哦！转眼间，我就从学生成为了一名上班族，走上了工作岗位。而我能够从事网络相关的工作，我本人是非常意外的。我想我大概率会成为一名软件研发工程师吧，但我的确做上了网络相关的工作。我想，这的确就是我和网络有缘吧。

经历了刚刚入职时什么都不会、业务做不完需要经常加班的阵痛期，我现在可以拥有更多的时间来思考、学习、输出，况且折腾一个新的blog就是继续熟悉网络、云计算的一个极好现实教程，于是我就有了再开一套博客的想法。我之前的博客是基于Wordpress的，然而即便用了Markdown的插件，也需要对每篇文章进行一些微调。恰好我在2020年暑期基于Github Pages搭建过另一套博客，所以我这次想，能不能再搞一套服务器，点滴记录我工作以后的成长。

那么，就让我们开始吧！

本地搭建Hexo

安装Hexo

第一步就是搭建本地的Hexo。由于我是MacBook，通过Homebrew安装一些前置项即可：

1
2
3
4
5

brew install git
git --version
brew install node
node --version  # 应显示 v20.19.0 或更高
npm --version   # 应显示 10.x 或更高

如果想要用Homebrew安装最新版的node.js，如下：

1
2
3
4
5
6
7
8
9
10
11

# Download and install Homebrew
curl -o- https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh | bash

# Download and install Node.js:
brew install node@24

# Verify the Node.js version:
node -v # Should print "v24.13.1".

# Verify npm version:
npm -v # Should print "11.8.0".

有一个小坑，如果你的系统里有多个版本的node.js，那么可能用的是老版本的，需要你调整PATH让homebrew安装的node.js优先级最高：

1
2
3

which -a node # 如果你观察到了多个版本，则可能需要调整
echo 'export PATH="/opt/homebrew/opt/node@24/bin:$PATH"' >> ~/.zshrc
soruce ~/.zshrc

接着就可以安装Hexo了：

1

npm install -g hexo-cli

我们可以验证是否安装成功：

1

hexo --version

其输出了版本，证明搭建成功。

本地Hexo初始化

我们找个地方来存放Hexo的文章吧！我想放在/Users/caiguu/Desktop/newblog里，作为我的新博客的本地存储地。

我执行了如下命令：

1
2
3
4

cd ~/Desktop
mkdir newblog
cd newblog
hexo init

按理来说，就会在newblog下新建一个博客了。然而，我遇到了证书过期的报错：

error An unexpected error occurred: “https://registry.npm.taobao.org/hexo: certificate has expired”.

WARN Failed to install dependencies. Please run ‘npm install’ in “/Users/caiguu/newblog” folder.

很显然，这个网址可能不对了。定位是镜像源的问题。我们换个源：

1
2
3

npm config get registry
npm config set registry https://registry.npmmirror.com
npm config get registry #验证是否顺利更换源

这次就没再报错了！看到了成功提示：

这是我们newblog文件夹下能够看到的东西：

接下来，我们让这个博客运行在本地！执行：

1
2

npm install
hexo server

如果成功了，会有下面的显示：

本地Hexo验证

我们打开这个网址看看：

说明本地运行Hexo成功了！

至此，本地的部署就完成了，下面将进行云服务器的配置。

云服务器配置

创建SSH密钥对

我们的云服务器创建后还没登录过，我们可以通过腾讯云默认提供的方案进行登录，不过我想在本地就能远程登录，这样我们可以利用SSH来做。我们先去创建一个SSH密钥对，并下载、保存好私钥，然后用密钥绑定实例。

需要注意的是，绑定密钥对需要在实例关机的情况下操作，因此务必最开始就做好应有的绑定。而且，使用了密钥就不能单纯通过密码来进行登录了。密钥对绑定完之后，我们需要在本地电脑进行如下操作：

1

chmod 400 <私钥文件>

以赋予自己读权限。

于是我们就可以登录了：

1

ssh -i <私钥文件> root@<云服务器IP>

设置完SSH登录，此时就可以安全地访问轻量级服务器了。虽然Cent OS的包管理工具是yum，但是dnf是它的未来。

我们先做一些基础操作：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

# 更新系统
dnf update -y

# 安装Git
dnf install git -y

# 安装Nginx
dnf install nginx -y

# 启动Nginx并设置开机自启
systemctl start nginx
systemctl enable nginx

# 如果防火墙开启，需要放行HTTP和HTTPS（不过我的实际没开）
firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --reload

创建裸Git

接下来，我们为了能够在服务器上获取并解析出这些页面文件，我们需要创建一个裸Git并设置一个钩子。

1
2
3
4
5
6
7
8
9

# 创建博客文件存放目录
mkdir -p /var/www/hexo

# 创建裸Git仓库
cd /root
git init --bare blog.git

# 创建post-receive钩子
vim /root/blog.git/hooks/post-receive

这个hooks文件是个新文件，我们可以直接用vim进行编辑。

我们先暂且不用管它做了什么，原理会在后面解释。我们还要给这个脚本一个可以执行的权限：

1

chmod +x /root/blog.git/hooks/post-receive

可以看到，已经具备了执行权限。

Nginx配置（测试页面）

接下来我们创建一个nginx配置文件：

1

vim /etc/nginx/conf.d/hexo.conf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

server {
    listen       80;  # 监听80端口（HTTP）
    listen       [::]:80; # 同时开启IPv6访问权限
    server_name  _;  # 将此处改为你的域名或服务器IP
    charset utf-8;

    # 网站根目录，指向我们刚刚创建的目录
    root         /var/www/hexo;
    index        index.html;  # 默认首页文件

    # 访问和错误日志（可选，但推荐）
    access_log   /var/log/nginx/hexo.access.log;
    error_log    /var/log/nginx/hexo.error.log;

    location / {
        try_files $uri $uri/ =404;  # 尝试访问请求的文件或目录，否则返回404
    }
}

我们可以看到此云服务器的80端口默认开放的：

然后我们去这个默认路径/var/www/hexo里加一个默认页面index.html：

我们执行如下命令：

1
2

nginx -t
sudo systemctl reload nginx

所以我们可以做一下测试：

为什么是这个？因为有默认配置！默认配置存在了/etc/nginx/nginx.conf下面，把默认的这个注释掉，就不会存在冲突了。

不过这至少说明了Nginx服务成功。

注释掉默认配置后，我们的配置就生效了，生效效果如下：

至此，我们确认nginx已经能够顺利显示我们想要的静态页面了。

当然了，如果云服务器申请了IPv6地址，那么在有IPv6 GLA地址的设备上，也是可以通过IPv6进行访问的。对于腾讯云轻量服务器来说，这个地址必须主动申请，之后会给你分配一个GLA地址。想用IPv6进行访问，同时需要你的设备、你所在的网络和云服务器支持。

至此，我们服务器的v4和v6双栈都已经顺利配置了！恭喜！

至于Nginx的结构如何，里面是怎么组织的，后面会单独开一篇博文去讲讲。

博客项目Git与服务器裸Git联动

GitHub项目与本地同步

我们接下来要做的事情就是让本地的Hexo能够同步到服务器上。我们先创建一个GitHub项目：

接着我们在本地把Hexo文件夹设置为Git文件夹。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 进入你的博客目录
cd ~/Desktop/newblog/

# 初始化Git仓库
git init

# 创建.gitignore文件
cat > .gitignore << EOF
node_modules/
public/
.deploy_git/
db.json
*.log
.DS_Store
Thumbs.db
EOF

接着我们配置一下本地Git和远程Git的同步。我已经预先配置了SSH Key来登录GitHub。

1

git remote add origin git@github.com:<我的GitHub账号>/blog.git

是这个，不要搞错哦。可以看到顺利完成了操作：

1
2
3
4
5
6
7
8
9
10
11

# 查看当前文件状态（确认要提交的文件）
git status

# 添加所有文件到暂存区
git add .

# 提交到本地仓库
git commit -m "第一次提交：Hexo博客源码"

# 推送到GitHub（第一次推送需要加 -u 参数）
git push -u origin master

最后看看提交效果：

我们完成了同步，这样以后就可以用GitHub来管理博客内容了。

与云服务器裸Git联动

接着，我们希望能够通过deploy，让云服务器获取到我们需要的静态文件。所以，执行如下操作：

1
2
3
4

cd ~/Desktop/newblog
hexo clean
hexo generate
ls -la public/ # 应该看到 index.html 和其他文件

接着，去Hexo里配置云服务器的信息。编辑_config.yml文件，找到Deployment部分，按照如下配置：

1
2
3
4
5

deploy:
  type: git
  repo: root@你的服务器IP:/root/blog.git
  branch: master
  message: "Site updated: {{ now('YYYY-MM-DD HH:mm:ss') }}"

接下来，我们在本地安装一个插件：npm install hexo-deployer-git --save，然后执行hexo deploy，这样以后每次hexo deploy，就会自动同步更新到云服务器上了！

当然，为了方便，我配置了~/.ssh/config，把密钥对的文件路径指定，这样以后只要在本用户下，无论哪个终端应用，都可以直接登录到云服务器上去了。

我们的联动配置大成功！

第一篇Hexo博文

如你所见，这就将是我们的第一篇博文。

这篇文章我预先在本地写的，我们先在Hexo里创建这篇文章。

1

hexo new post "文章名"

我们还做了一些其他的基础配置，例如将URL方式按照分类进行组织，而非按照日期。

就这样，第一篇博文也就是我搭建这个博客的经历啦，欢迎大家常来看看！