挑战入口:Root-Me(https://www.root-me.org/en/Challenges/Web-Server/HTTP-directory-indexing)
分类目录:Link to …(http://exp-blog.com/2019/01/02/pid-2597/12/)
题目有个提示 CTRL+U,这个快捷键是查看源码的,在源码发现注释掉一行代码:include("admin/pass.html") 。
在URL补全路径打开这个页面,用法语+英语双重嘲讽你被逗了。
再想想题目是路径索引,或者是存在路径穿越一类的漏洞的,去掉URL中的 pass.html 看看有没有权限查看 admin/ 目录。
结果猜中了,admin 目录下有个 backup 目录,然后有个 admin.txt 文件,密码就在里面,完成挑战。
转载请注明:EXP 技术分享博客 » CTF – RootMe解题报告 [Web-Server : HTTP directory indexing]
![CTF – XSS-Game解题报告 [Level 2]](http://exp-blog.com/wp-content/themes/exp-blog/timthumb.php?src=http://exp-blog.com/wp-content/uploads/2019/02/xss-game.png&h=110&w=185&q=90&zc=1&ct=1)