点开链接,页面上说了一句话,大概意思说key就是在这个页面中,记住这句话。
首先看一下提供的这个链接,大概翻译下是这样的
意思就是说存在目录遍历漏洞,可以通过类似xxx.com/struts/…%252f的编码方式访问文件。
这个%252f是啥呢,就是%2f编码的结果,%2f又是啥呢,就是反斜杠。比如我们在linux中访问目录就可以用
cd ../../
所以这个漏洞的意思就是,反斜杠会经过两次编码,然后造成目录的遍历。比如我们读取…/name目录下面的文件,就会变成…%252fname。
我们继续输入以下链接试试
http://219.153.49.228:45511/struts/..%252f
有东西,我们继续往下遍历,一直往下测试,输入到以下链接,能看到showcase
http://219.153.49.228:45511/struts/..%252f..%252f..%252f..%252f..%252f..%252f
我们在页面上能看到一个提醒,说key就在页面中,我们直接读取这个页面看看
找到key