Lab: Source code disclosure via backup files:通过备份文件泄露源代码

靶场内容:

该实验室通过隐藏目录中的备份文件泄露其源代码。为解决实验室,识别并提交数据库密码,该密码已硬编码在泄露的源代码中。

漏洞分析

  • 浏览/robots.txt并注意它显示/backup目录的存在。
    image
  • 浏览以/backup查找文件ProductTemplate.java.bak。或者,右键单击站点地图中的实验室,然后转到 "Engagement tools" > "Discover content".。然后,启动内容发现会话以发现/backup目录及其内容。
    image
  • 浏览以/backup/ProductTemplate.java.bak访问源代码。
    image
  • 在源代码中,请注意连接构建器包含 Postgres 数据库的硬编码密码:uqenbr5y8hsd9jqe379jmz4kzz8d990y
  • 回到实验室,点击“提交解决方案”,输入数据库密码,解决实验室问题。
posted @ 2021-08-24 11:01  Zeker62  阅读(154)  评论(0编辑  收藏  举报