1、首先是解题
打开环境进入到解题页面
这里给出的提示已经很多了,说了网站的可能文件名,及其后缀
(2)、通过一个一个的拼接,可以知道www.zip可以访问并下载对应的文件(实际中可以直接进行扫描)
(3)、打开flag文件发现里面并没有对应的flag
(4)、因为是在网站上的,所以直接在网站后添加/flag_678119945.txt即可得到flag。
2、原理
(1)、形成原因
网站在开发是,会对网站的内容进行备份,并将生成的备份文件放在相同的目录下,但是在网站完成后,没有对备份的内容及时的删除从而产生。
(2)、利用方法
攻击者通过绕过权限的方式,即可下载对应的内容,从而获得网站备份的信息,从信息中可以还原网站,造成信息泄露
(3)、防范方法
1、在网站完成后及时将备份文件删除。
2、不允许用户访问对应的目录。
3、对传递的数据进行编码操作。