HackingLab渗透基本关试题12：就不让你访问

就不让你访问

分值: 150

小明设计了一个网站，因为总是遭受黑客攻击后台，所以这次他把后台放到了一个无论是什么人都找不到的地方....可最后还是被黑客找到了，并被放置了一个黑页，写到:find you ,no more than 3 secs!
通关地址

 

通关说明：

打开页面，内容为：I am index.php , I am not the admin page ,key is in admin page.

分析网页源代码，啥也没有。

尝试使用抓包工具，也没有获取啥有用信息。

思路1：尝试查看网页robots.txt文件，完整地址为：lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/robots.txt，内容如下：

User-agent: *
Disallow: /
Crawl-delay: 120
Disallow: /9fb97531fe95594603aff7e794ab2f5f/
Sitemap: http://www.hackinglab.sinaapp.com/sitemap.xml

其中Disallow: /9fb97531fe95594603aff7e794ab2f5f/看着像是地址，尝试访问：lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/，结果如下：

you find me,but I am not the login page. keep search.

此时，基本离结果不远了。看说明还差个login页面，直接访问：lab1.xseclab.com/base12_44f0d8a96eed21afdc4823a0bf1a316b/9fb97531fe95594603aff7e794ab2f5f/login.php，结果如下：

right! key is UIJ%%IOOqweqwsdf

搞定！！

思路2：robots.txt不是一般人能想到哈，我们可以尝试后台扫描工具（御剑网站后台地址扫描下载-御剑网站后台地址扫描官方版下载[电脑版]-华军软件园 (onlinedown.net)）

robots.txt路径直接就扫描到了，剩下的和思路1就一样了。