目录遍历
开始查找?
进入到了/flag_in_here文件树中,依次遍历寻找:
PHPINFO
点击查看phpinfo
浏览phpinfo.php,搜索flag
?
备份文件下载——网站源码
当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。
查看提示:
?我们可以根据文件名和后缀进行查找:
这使用python脚本进行扫描
import requests
if __name__ == '__main__':
# url为被扫描地址,后不加‘/’
url1 = 'http://challenge-3c36914916e0b990.sandbox.ctfhub.com:10800'
# 常见的网站源码备份文件名
list1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar']
for i in list1:
for j in list2:
back = str(i) + '.' + str(j)
url = str(url1) + '/' + back
print(back + ' ', end='')
print(requests.get(url).status_code)运行结果,我们访问状态码为200的www.zip
?下载文件并解压
?我们发现flag并不在这里
?我们通过浏览器访问就可以找到 flag
?备份文件下载——bak文件
当开发人员在线上环境中对源代码进行了备份操作,并且将备份文件放在了 web 目录下,就会引起网站源码泄露。
打开题目,提示?Flag in index.php source code.
?我们访问 index.php.bak 下载成功后以记事本打开
成功获得flag
备份文件下载——vim缓存
当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。
启动环境
?提示了flag在index.php页面的源码中,并提示了是vim缓存漏洞
访问/.index.php.swp,下载index.php的swp文件:
?使用 vim 回复 .swp 文件
vim -r index.php.swp
恢复swp文件,得到源码。同时我们也找到了flag
备份文件下载——?.DS_Store
.DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。
我们先使用dirsearch工具扫描出? .DS_Store 文件(dirsearch的下载与使用)
参数 -u URL 填写自己环境的URL
python3 dirsearch.py -u challenge-e931a67398f0d992.sandbox.ctfhub.com:10800 -e*
运行脚本前先要保证自己的python环境中要有对应的模块,如果报没有模块错的话执行以下命令
pip install -r requirements.txt200 成功扫描到? /.DS_Store 路径
?浏览器访问,下载DS_Store文件
windows下查看DS_Store文件,发现无法正常显示内容
?我们放到linux系统下,使用dsstore查看?DS_Store 文件?(dsstore下载地址)
我们在浏览器中访问这个txt文件,成功获得flag?
?