无题

源代码泄露

源代码泄露

对网站的渗透过程中，由于网站管理人员的疏忽或网站配置不当会使一些本应该隐藏的目录及文件暴露到公网上，如网站备份、带有账号密码的网站说明等，还有些网站的后台路径名非常容易被攻击者猜解到，这些都对网站的安全性造成极大的威胁。

1.文件搜集

搜索网站

2.网站的探测工具

御剑

code_search

GitHack-py3

3.源码泄露

1)版本管理文件

/robots.txt

/.git

/.svn

2)备份文件

/.index.php.swp.

/.index.php.bak.

例题

1.BUUCTF_常见的搜集

1.查看网页源码

没有发现有用信息。

2.扫描工具扫描

扫描结束。

我们可以根据扫描结果，去访问扫描出来的可疑网站。

成功找出第二段flag。

访问网站，下载文件后，用notpad++打开该文件，ctrl+f搜索flag，成功得到第三段flag。

访问robots.txt后，出现txt文件提示，继续访问。

成功得到第一段flag。

flag

最后，将三段flag拼接起来，

n1book{info_1s_v3ry_imp0rtant_hack}

2.BUUCTF_粗心的小李

1.查看源代码

没有发现异常。

2.扫描网站

由于题目中给出提示为.git源码泄露。

使用GitHack-py3工具进行扫描。

python .\GitHack.py http://6dc35db1-afb5-4e24-ae79-9c70270c1379.node4.buuoj.cn/.git

文件下载成功。

打开文件，成功得到flag。