挑战入口:Root-Me(https://www.root-me.org/en/Challenges/Web-Server/HTTP-directory-indexing)
分类目录:Link to …(http://exp-blog.com/2019/01/02/pid-2597/12/)
题目有个提示 CTRL+U
,这个快捷键是查看源码的,在源码发现注释掉一行代码:include("admin/pass.html")
。
在URL补全路径打开这个页面,用法语+英语双重嘲讽你被逗了。
再想想题目是路径索引,或者是存在路径穿越一类的漏洞的,去掉URL中的 pass.html
看看有没有权限查看 admin/
目录。
结果猜中了,admin
目录下有个 backup
目录,然后有个 admin.txt
文件,密码就在里面,完成挑战。
转载请注明:EXP 技术分享博客 » CTF – RootMe解题报告 [Web-Server : HTTP directory indexing]