靶场内容:
该实验室通过隐藏目录中的备份文件泄露其源代码。为解决实验室,识别并提交数据库密码,该密码已硬编码在泄露的源代码中。
漏洞分析
- 浏览/robots.txt并注意它显示/backup目录的存在。
- 浏览以/backup查找文件ProductTemplate.java.bak。或者,右键单击站点地图中的实验室,然后转到 "Engagement tools" > "Discover content".。然后,启动内容发现会话以发现/backup目录及其内容。
- 浏览以/backup/ProductTemplate.java.bak访问源代码。
- 在源代码中,请注意连接构建器包含 Postgres 数据库的硬编码密码:uqenbr5y8hsd9jqe379jmz4kzz8d990y
- 回到实验室,点击“提交解决方案”,输入数据库密码,解决实验室问题。
Lab: Source code disclosure via backup files:通过备份文件泄露源代码
原文:https://www.cnblogs.com/Zeker62/p/15179356.html
