- 来源:Root-Me
- 题型:Web-Server
- 题目:HTTP directory indexing
- 分数:15 Points
题目有个提示 CTRL+U,这个快捷键是查看源码的,在源码发现注释掉一行代码:include("admin/pass.html") 。
在URL补全路径打开这个页面,用法语+英语双重嘲讽你被逗了。
再想想题目是路径索引,或者是存在路径穿越一类的漏洞的,去掉URL中的 pass.html 看看有没有权限查看 admin/ 目录。
结果猜中了,admin 目录下有个 backup 目录,然后有个 admin.txt 文件,密码就在里面,完成挑战。
答案下载
flag 下载后的 flagzip 的文件需要手动更改后缀为
*.zip,然后解压即可(为了避免直接刷答案)
