【Root-Me】 HTTP - directory indexing



题目有个提示 CTRL+U,这个快捷键是查看源码的,在源码发现注释掉一行代码:include("admin/pass.html")

在URL补全路径打开这个页面,用法语+英语双重嘲讽你被逗了。

再想想题目是路径索引,或者是存在路径穿越一类的漏洞的,去掉URL中的 pass.html 看看有没有权限查看 admin/ 目录。

结果猜中了,admin 目录下有个 backup 目录,然后有个 admin.txt 文件,密码就在里面,完成挑战。




答案下载

flag 下载后的 flagzip 的文件需要手动更改后缀为 *.zip,然后解压即可(为了避免直接刷答案)


文章作者: EXP
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EXP !
 上一篇
【Root-Me】 XSS - Stored 2 【Root-Me】 XSS - Stored 2
来源:Root-Me 题型:Web-Client 题目:XSS - Stored 2 分数:50 Points 很直白告诉了告诉了我们是存储型 XSS 题型。注意题目要求: Steal the administrator sessio
2019-09-19
下一篇 
【Root-Me】 Javascript - Obfuscation 3 【Root-Me】 Javascript - Obfuscation 3
来源:Root-Me 题型:Web-Client 题目:Javascript - Obfuscation 3 分数:30 Points 水题。一打开页面就弹出交互框要求输入密码,随便输入提示 FAUX PASSWORD HAHA 。
2019-09-11
  目录