CTF之网站源码

当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。

打开练习的靶场,发现给的提示很直白了

那么我直接找一个扫描目录或者爆破路径的工具,即可扫出这类备份文件

于是我将文件名保存下来,为爆破做准备

刚好找到了DirBuster这个目录扫描工具,简单粗暴,这类工具的使用方法都是大同小异。
填上目标url地址,扫描线程拉满,再放入之前保存的文件名作为字典,指定路径 / 即当前路径,这类的文件类型只能选一个,所以我只有一个个类型扫描。

很快扫描到文件,响应状态码为200,这个就是网站的备份文件了。

于是我先把这个文件下载了,并解压,得到2个html 1个txt 文件

全部打开以后,可以得知,index即为我们访问的靶场主页,而50x为nginx错误文件,flag文件显示这个调皮了一下

因为三个文件是同一网站路径下,我尝试从浏览器中直接访问这个flag文件,于是成功返回flag

posted @   宋吴凡  阅读(1099)  评论(0编辑  收藏  举报
编辑推荐:
· DeepSeek 解答了困扰我五年的技术问题
· 为什么说在企业级应用开发中,后端往往是效率杀手?
· 用 C# 插值字符串处理器写一个 sscanf
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
阅读排行:
· DeepSeek 解答了困扰我五年的技术问题。时代确实变了!
· PPT革命!DeepSeek+Kimi=N小时工作5分钟完成?
· What?废柴, 还在本地部署DeepSeek吗?Are you kidding?
· DeepSeek企业级部署实战指南:从服务器选型到Dify私有化落地
· 程序员转型AI:行业分析
点击右上角即可分享
微信分享提示