CTFHub个人学习记录
第三章:web前置技能-信息泄露-备份文件下载-bak篇
文章目录
- CTFHub个人学习记录
- 前言
- 一、解题过程
- 总结
前言
路漫漫其修远兮,吾将上下而求索。
本文涉及以下知识点,去引用文章学习即可:
链接: link
链接: link
一、解题过程
方法一:
1.首先访问靶机发现页面提示flag提示在index.php中,访问发现跳转至本页面如下图所示
2.有些时候网站管理员可能为了方便,会在修改某个文件的时候先复制一份,将其命名为xxx.bak。而大部分Web Server对bak文件并不做任何处理,导致可以直接下载,从而获取到网站某个文件的源代码.访问index.php.bak,如下图所示:
3.打开得到flag提交即可,如下图所示:
方法二:
1.当然也可以直接curl http://challenge-0338c5dacf3544fa.sandbox.ctfhub.com:10800/index.php.bak,访问页面得到flag,如下图所示:
curl http://challenge-0338c5dacf3544fa.sandbox.ctfhub.com:10800/index.php.bak
总结
大概思路和涉及的知识点(这里我一律复制网上师傅总结的即可,网上的师傅们总结的很完美,我就不东施效颦)
思路:
当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。