บทความนี้สำหรับการ เปิดเผยซอร์สโค้ดของห้องปฏิบัติการ ผ่านไฟล์สำรองเป็นส่วนหนึ่งของชุดคำแนะนำ ของฉันสำหรับPortSwigger's Web Security Academy

เส้นทางการเรียนรู้ : หัวข้อฝั่งเซิร์ฟเวอร์ → การเปิดเผยข้อมูล

สคริปต์ Python: script.py

คำอธิบายห้องปฏิบัติการ

ขั้นตอน

เมื่อวิเคราะห์หน้าเว็บ หนึ่งในขั้นตอนแรกคือการตรวจสอบการมีอยู่ของrobots.txtไฟล์เสมอ

เป็นไฟล์ที่ขอให้โปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหารวมหรือแยกบางส่วนของเว็บไซต์ออกจากดัชนี บางครั้งสถานที่ที่น่าสนใจก็ถูกเปิดเผยด้วยวิธีนั้น

ขึ้นอยู่กับซอฟต์แวร์รวบรวมข้อมูลว่าพวกเขาจะปฏิบัติตามความปรารถนาเหล่านี้หรือไม่ก็ตาม เนื่องจากไฟล์เป็นข้อความล้วน จึงมีผลเช่นเดียวกันกับการอ่านโดยมนุษย์

ในกรณีนี้ จะชี้ตรงไปยังไดเร็กทอรีย่อย/backup(วิธีอื่นในการค้นหาคือเครื่องมือต่างๆ เช่น Burp Content Discovery, gobuster, wfuzz, ...)

การตรวจสอบไดเร็กทอรีแสดงไฟล์สำรองสำหรับโค้ด Java บางตัว:

ในรหัส ข้อมูลประจำตัวสำหรับการเชื่อมต่อฐานข้อมูลสามารถพบได้:

หลังจากส่งเวลาแก้ปัญหาแล้ว แล็บจะอัปเดตเป็น

เผยแพร่ครั้งแรกที่https://github.com

New to Medium? Become a Medium member to access all stories on the platform and support me at no extra cost for you!

จาก Infosec Writeups: มีเรื่องราวมากมายเกิดขึ้นใน Infosec ทุกวันซึ่งเป็นเรื่องยากที่จะตามให้ทัน เข้าร่วมจดหมายข่าวรายสัปดาห์ของเราเพื่อรับเทรนด์ล่าสุดของ Infosec ในรูปแบบบทความ 5 หัวข้อ 4 หัวข้อ วิดีโอ 3 รายการ Repos และเครื่องมือ GitHub 2 รายการ และการแจ้งเตือนงาน 1 รายการฟรี!