【Root-Me】 Install files



不是猫扑、天涯那个年代的程序员对这题可能很陌生了。

打开页面什么都没有,查看页面源码发现有一行注释:<!-- /web-serveur/ch6/phpbb -->

在页面 URL 后面补充 phpbb ,再打开页面依然什么也没有。

搜索一下 phpbb,知道这是一个曾经很火 BBS 开源论坛软件。

再结合题眼考虑:Install files (安装文件)。。。有可能是要找到 phpbb 的安装文件的信息。

测试了几个可能的安装目录名称,最终发现在 URL 后面补充 phpbb/install/ 可以查看安装目录,里面有个 install.php 文件,打开后找到密码,完成挑战。


install.php 里面用法文描述了这个挑战的故事背景,翻译一下就是:

   恭喜,您刚刚发现了phpBB中的众多缺陷之一。

   事实上,这个缺陷是网站管理员的疏忽,配置了敏感信息的安装文件没有被删除。

   你必须要了解的是我们经常会通过 篡改URL 发现很多东西 …

   也多亏了他们的疏忽,现在你可以重置论坛,并更改所有密码,然后完全控制论坛!!

   要验证的密码是:karambar

   祝你好运!


答案下载

flag 下载后的 flagzip 的文件需要手动更改后缀为 *.zip,然后解压即可(为了避免直接刷答案)


文章作者: EXP
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 EXP !
 上一篇
【Root-Me】 XSS - Reflected 【Root-Me】 XSS - Reflected
来源:Root-Me 题型:Web-Client 题目:XSS - Reflected 分数:45 Points 题目已经提示是反射型 XSS 的题型,但题目已经提示了 admin 不会点击所有可疑的 XSS 链接, 亦即我们要想办法
2019-02-25
下一篇 
【Root-Me】 Encoding - UU 【Root-Me】 Encoding - UU
来源:Root-Me 题型:Cryptanalysis 题目:Encoding - UU 分数:5 Points 水题,题目就是提示,UU 解码。 随便搜索一个 UU 解码器 即可。 对 begin 和 end 之间的内容解码,得到密
2019-02-18
  目录