攻防世界-web-backup-Writeup

最新推荐文章于 2025-02-06 18:12:04 发布
最新推荐文章于 2025-02-06 18:12:04 发布
阅读量475 收藏
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Claming_D/article/details/106790059
本文深入探讨了备份文件泄露的攻防技巧,通过实战案例分析.bak文件泄露的原理及利用方法,揭示了网站源码泄露的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

【环境】

wind10

【工具】

dirsearch

【 题目】

backup
在这里插入图片描述

【题目分析】

打开题目链接,出现一下信息
在这里插入图片描述
显然考察备份文件泄露。ctf中常考查的备份文件有.bak .git .svn 等,这题是.bak类型的备份文件泄露。很多软件,如editplus,在生成了某种类型的文件后,就会自动生成它的备份文件.bak

.bak文件的格式为:文件名.bak;例如123.php.bak

经过手工尝试,这题的扩展名为.bak ,payload为:

http://220.249.52.133:33925/index.php.bak

当然,也可以使用目录扫描,这里我使用dirsearch进行扫描

命令:python dirsearch.py -u http://220.249.52.133:33925/ -e php

扫描结果:
在这里插入图片描述
当我们访问备份文件时,备份文件就会自动下载到本地,用文本编辑器打开,得到网站源码
在这里插入图片描述

【总结】

源码泄露由于网站开发人员忘记删除备份文件,直接上线项目,这对网站来说具有很大的安全隐患,攻击者可以通过下载泄露的源码备份文件,查看源码,从而进行信息收集。

debaowang
关注
【CTF | WEB】001、攻防世界WEB题目之backup
韩非雨的博客
08-12 811
X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!找到其对应的备份文件,成功获取到flag。
攻防世界-- web新手练习区-- writeup汇总
yisosooo的博客
09-22 2582
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
攻防世界 web backup
shidonghang的博客
10-25 1581
backup 题目 场景 过程 访问index.php的备份文件,弹出下载框 使用Notepad打开下载的备份文件
攻防世界backupweb简单)
my_name_is_sy的博客
05-26 1450
里面有我写的一个简单的python脚本,感兴趣的可以试一下。
攻防世界-backup
HEAVEN569的博客
03-14 495
题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 根据题目的要求,找到index.php的备份文件,flag应该就在里面 而一般的备份文件是以bak结尾的,index.php备份文件则可能为index.php.bak 访问:http://111.200.241.244:34981/index.php.bak 得到一个文件,把文件下载下来,成功得到flag,flag="Cyberpeace{855A1C4B3401294CB6604CCC98BDE3...
攻防世界backup
qq_55510415的博客
04-21 294
当用index.php.bak的时候会下载一个文件,文件中就有我们所需的flag。X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧!思路:添加常用的备份文件尾缀名字。常用的备份文件尾缀名字。
ctf web5 练习_CTF-攻防世界-WEB新手练习区 Writeup(12题入门题)
weixin_33603656的博客
01-15 3815
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习区 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界新手区Web-writeup
eeeric7的博客
07-25 474
Web1view_source F12查看网页源代码得到flag Web-2 robots Robots协议:即Robots Exclusion Standard网络爬虫排除协议。 作用:网站告知网络爬虫哪些页面可以爬取,哪些不能爬取 形式:在网站根目录下的robots.txt文件 robots.txt文件应该放在网站根目录下。 当robots访问一个网站时,首先会检查该网站中是否存在http://www.xxx.com/robots.txt这个文件,如果机器人找到这个文件..
XCTF攻防世界练习区-web-backup
果冻先生的专栏
09-19 620
0x05.cookie 【题目描述】 X老师告诉小宁他在cookie里放了些东西,小宁疑惑地想:‘这是夹心饼干的意思吗? 【目标】 掌握有关cookie的知识。 Cookie是当主机访问Web服务器时,是由Web服务器创建的,将信息存储在用户计算机上的文件。一般网络用户习惯用其复数形式 Cookies,指某些网站为了辨别用户身份、进行Session 跟踪而存储在用户本地终端上的数据,...
攻防世界 WEB 新手练习区 writeup 001-006
ChaoYue_miku的博客
09-01 458
攻防世界 WEB 新手练习区 题目解答 浏览器:Firefox(火狐浏览器) 文章目录001 view source002 robots003 backup004 cookie005 disabled_button006 weak_auth 001 view source 难度系数: 1.0 题目来源: Cyberpeace-n3k0 题目描述: X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 0x01 打开网页 网页中显示FLAG is not here 0x02 按F12
攻防世界——backup
weixin_73668856的博客
11-18 764
新手web
backup (攻防世界)
HackerYY的博客
11-28 708
攻防世界backup简单PHP index.php.bak 内附解题过程
攻防世界——backup(NO.GFSJ0477)
hhsjjsj的博客
09-09 1622
那么就很明了了,只需要在url中加上/index.php.*(*是占位的)一个个尝试即可。在输入到bak的时候,弹出下载了一个东西,用记事本打开看看。打开题目,很明显的提示,index.php的备份文件名。下面这些是常见的备份名。
攻防世界(WEB) backup
qq_54929891的博客
08-23 263
常见的备份文件后缀名有 .git .svn .swp .~ .bak .bash_history 在链接后面直接一个一个试最后得知/index.php.bak是它的备份文件名 进入后自动下载一个备份文件 用记事本打开,发现flag ...
攻防世界中的backupweb
gzy1616的博客
03-03 484
在url加上index.php.bak出现了一个文件并打开。由于题目名字叫backup所以先试试.bak。
2.攻防世界 backup
最新发布
2401_86760082的博客
02-06 974
index.php文件 基本功能 通用备份文件后缀 数据库备份文件后缀 网页和代码备份文件后缀 压缩格式的备份文件后缀
攻防世界--WEB题之backup
qq_45786729的博客
02-17 2622
问题描述: 难度系数:一颗星 题目来源: Cyberpeace-n3k0 题目描述:X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! 题目场景: 点击获取在线场景 题目附件: 暂无 原因分析: 知识点: 常见的备份文件后缀名: “.bak” “.git” “.svn” “.swp” “.~” “.bash_history” “.bkf” 解题步骤: 打开题目所给的网站,出现如下页面。猜测需要找到index.php的备份文件,题目为backup,猜测可能为".bak"类型
攻防世界-web-backup
m0_48108919的博客
02-08 382
访问网站,提示备份文件 直接访问/index.php.bak下载备份文件,用记事本打开得到flag Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
CTFSHOW-web-web4
12-27
### CTF SHOW Web 类别挑战资源与解决方案 对于参与CTF SHOW平台上Web类别的挑战,特别是针对`web4`这一具体题目,可以借鉴一些通用的Web安全漏洞利用技巧以及特定于该平台的经验分享。通常情况下,这类挑战会涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值