题目 ---- mfw
一、writeup
主页中抓包,提示flag在:?page=flag
中
这里考的不是文件包含,在这个页面提示使用了git,考的是git源代码泄露,访问:220.249.52.134:40286/.git/
也可以使用dirsearch,命令:python3 dirsearch.py -u http://220.249.52.134:40286/ -e php
可访问的目录中没有有用的资源,使用GitHack.py
脚本导出所有的备份文件,执行:python2 GitHack.py http://220.249.52.134:42185/.git/
对得到的代码进行审计,flag.ph