攻防世界-web-backup-Writeup

最新推荐文章于 2025-10-07 22:36:08 发布

原创最新推荐文章于 2025-10-07 22:36:08 发布 · 494 阅读

0 ·

CC 4.0 BY-SA版权

本文深入探讨了备份文件泄露的攻防技巧，通过实战案例分析.bak文件泄露的原理及利用方法，揭示了网站源码泄露的安全隐患。

文章目录

【环境】

wind10

【工具】

dirsearch

【题目】

backup
在这里插入图片描述

【题目分析】

打开题目链接，出现一下信息
在这里插入图片描述
显然考察备份文件泄露。ctf中常考查的备份文件有.bak .git .svn 等，这题是.bak类型的备份文件泄露。很多软件,如editplus，在生成了某种类型的文件后，就会自动生成它的备份文件.bak。

.bak文件的格式为：文件名.bak；例如123.php.bak

经过手工尝试，这题的扩展名为.bak ,payload为：

http://220.249.52.133:33925/index.php.bak

当然，也可以使用目录扫描，这里我使用dirsearch进行扫描

命令：python dirsearch.py -u http://220.249.52.133:33925/ -e php

扫描结果：
在这里插入图片描述
当我们访问备份文件时，备份文件就会自动下载到本地，用文本编辑器打开，得到网站源码

【总结】

源码泄露由于网站开发人员忘记删除备份文件，直接上线项目，这对网站来说具有很大的安全隐患，攻击者可以通过下载泄露的源码备份文件，查看源码，从而进行信息收集。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

debaowang

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【CTF | WEB】001、攻防世界WEB题目之backup

韩非雨的博客

08-12

963

X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！找到其对应的备份文件，成功获取到flag。

攻防世界-backup-(详细操作)做题笔记

qq_43715020的博客

06-27

2563

攻防世界-backup-(详细操作)做题笔记

参与评论您还未登录，请先登录后发表或查看评论

CTF攻防世界WEB精选基础入门：backup

最新发布

weixin_46417756的博客

10-07

521

X老师忘记删除备份文件，需要找出备份文件获取flag。根据常见备份文件格式（如.git、.svn、.swp、.bak等）逐一测试，发现.bak后缀时浏览器自动下载文件，打开后成功获取flag。解题关键在于了解各类备份文件的命名规则和存储位置。

攻防世界-web-bug-从0到1的解题历程writeup

CTF小白的博客

04-15

2272

题目分析拿到题目首先注册了一下admin账号发现账号存在。然后后登陆后发现Manage需要admin权限，那么大概就是要获取到admin账号或者admin权限了。尝试了一下发现先输入自己注册的正确账号令其跳转到修改密码界面，然后修改username直接找回admin的密码即可成功登陆admin账号发现进入admin模块提示IP NOT allowed。尝试修改IP添加请求头X-...

攻防世界 web backup

shidonghang的博客

10-25

1596

backup 题目场景过程访问index.php的备份文件，弹出下载框使用Notepad打开下载的备份文件

攻防世界之backup （web简单）

my_name_is_sy的博客

05-26

1539

里面有我写的一个简单的python脚本，感兴趣的可以试一下。

攻防世界-- web新手练习区-- writeup汇总

yisosooo的博客

09-22

2640

一篇帖子包含所有题目。第一题-- view_source 题目提示：鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项，所以可以F12来查看源代码。即可得到flag。第二题-- get_post 题目提示：HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步：请用GET方式提交一个名为a,值为1的变量,构造URL：http://111....

ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup（12题入门题）

weixin_33603656的博客

01-15

3884

注：作者是CTF初学者，边学习边记录，如有错误或疏漏请批评指正，也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意：攻防世界WEB题每次生成场景后，有时flag会改变，因此flag不同不要在意，主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。题目提示查看源码，鼠标右键不管用，用F12...

攻防世界-WEB新手练习篇

weixin_42271850的博客

02-05

1279

简述这一篇算是自己的第一篇博客，写的目的主要是回顾一下一个月前学习CTF中WEB方向时的相关知识。因为那时刚刚接触网络安全也刚刚接触CTF，基本一题都不会做，老是看了一下题目就去网上搜相关的writeup了。现在做完了12道初级的题目后，打算重新做一遍，按着自己学习到的思路过一遍，也算是一种积累和沉淀吧。一、view_source 从题目就能看到提示，是需要我们去查看源代码的，但是页面...

XCTF攻防世界练习区-web题-backup

果冻先生的专栏

09-19

642

0x05.cookie 【题目描述】 X老师告诉小宁他在cookie里放了些东西，小宁疑惑地想：‘这是夹心饼干的意思吗？【目标】掌握有关cookie的知识。 Cookie是当主机访问Web服务器时，是由Web服务器创建的，将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies，指某些网站为了辨别用户身份、进行Session 跟踪而存储在用户本地终端上的数据，...

攻防世界web入门writeup

shallon的博客

02-27

2047

1.view_source 题目描述：X老师让小宁同学查看一个网页的源代码，但小宁同学发现鼠标右键好像不管用了。打开网址后发现无法右键查看源代码，禁用了右键，所以我们采用按下F12查看源代码直接获取flag cyberpeace{5bc3713cfe96d7664c09bcc842f2b8a6} 2.robots X老师上课讲了Robots协议，小宁同学却上课打了瞌睡，赶紧来教教小宁Robots协议是什么吧。打开网址发现是空白页面，于是根据题目提示robots.txt 据我所理解就是禁止爬

攻防世界-backup

HEAVEN569的博客

03-14

520

题目描述：X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！根据题目的要求，找到index.php的备份文件，flag应该就在里面而一般的备份文件是以bak结尾的，index.php备份文件则可能为index.php.bak 访问：http://111.200.241.244:34981/index.php.bak 得到一个文件，把文件下载下来，成功得到flag，flag="Cyberpeace{855A1C4B3401294CB6604CCC98BDE3...

攻防世界backup

qq_55510415的博客

04-21

314

当用index.php.bak的时候会下载一个文件，文件中就有我们所需的flag。X老师忘记删除备份文件，他派小宁同学去把备份文件找出来,一起来帮小宁同学吧！思路：添加常用的备份文件尾缀名字。常用的备份文件尾缀名字。

攻防世界——backup

weixin_73668856的博客

11-18

791

新手web

backup (攻防世界)

HackerYY的博客

11-28

744

攻防世界backup简单PHP index.php.bak 内附解题过程

攻防世界——backup（NO.GFSJ0477）

hhsjjsj的博客

09-09

1683

那么就很明了了，只需要在url中加上/index.php.*（*是占位的）一个个尝试即可。在输入到bak的时候，弹出下载了一个东西，用记事本打开看看。打开题目，很明显的提示，index.php的备份文件名。下面这些是常见的备份名。

攻防世界(WEB) backup

qq_54929891的博客

08-23

289

常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history 在链接后面直接一个一个试最后得知/index.php.bak是它的备份文件名进入后自动下载一个备份文件用记事本打开，发现flag ...

攻防世界中的backup（web）

gzy1616的博客

03-03

503

在url加上index.php.bak出现了一个文件并打开。由于题目名字叫backup所以先试试.bak。

CTFSHOW-web-web4

12-27

### CTF SHOW Web 类别挑战资源与解决方案对于参与CTF SHOW平台上Web类别的挑战，特别是针对`web4`这一具体题目，可以借鉴一些通用的Web安全漏洞利用技巧以及特定于该平台的经验分享。通常情况下，这类挑战会涉及...