web:

1.web萌新福利

没啥好说的，右键查看源码得key

2.you are not admin

一看题目，就想到http头修改，常见的x-forwarded-for,referer,host,client-ip,更改x-forwarded-for为127.0.0.1即可德key

3.简单的注入：

直接丢sqlmap，--dump即可。

4.萌新题目

svn泄露，算是一个源码泄漏的漏洞吧,直接在url后面加上.svn/entries即可暴露出源码。

  关于SVN源码泄露漏洞：

    不想慢慢敲字解释，在网上摘抄了一段话，造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息。但一些网站管理员在发布代码时，不愿意使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，黑客可以借助其中包含的用于版本信息追踪的‘entries’文件，逐步摸清站点结构。”

   更严重的问题在于，SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本（低版本SVN具体路径为text-base目录，高版本SVN为pristine目录），如果服务器没有对此类后缀做解析，黑客则可以直接获得文件源代码。 

c1ctf2016 wp