题目-简单的目录遍历,寻找flag
使用Burp目录遍历功能 寻找flag。
简单的目录遍历,用相关工具---参考源搜索。
找到flag文件,查看响应报文,拿到flag。
复杂的目录遍历可以使用 相关工具-----内容搜索
首先进行设定
对于本题来说,经简单点击,发现只有二层目录,递归搜寻子目录设置为2层,其余设定可使用默认值。
再点击 控制选项卡,点击 会话停止 按钮 启动目录遍历。这个方法个人感觉适用于需要知道攻击网站的整体目录和文件的情况。目录层级多少和需要获取的文件名称多少决定了攻击时间的长短。
点击网站地图,展开所有目录,发现在 1/3/ 目录下有flag,查看响应报文,拿到flag。