某公司-存在任意文件下载
我想要金币,
谷歌语法直接搜
inurl:.php?file 公司
就他了
访问此链接
http://www.xxx.cn/down.php?file=download/SFR%208-page%20brochure%20CN-EN-web.pdf
访问之后直接进入下载,
然后在把文件名改成/../index.php(跳出当即目录,试试能不能下载index.php)
http://www.xxx.cn/down.php?file=download/../index.php
然后 没想到 直接就下载了这家公司的主页源码,然后我就很惊喜,然后我也没管其他的,再然后我就提交了【滑稽】
总结:
反正呢就是用谷歌语法搜索inurl:.php?file
然后呢只要是看到文件下载的地方就可以试试../能不能下载到其他敏感文件
总会瞎猫碰到死耗子,比如说我,我就是,
这个漏洞我已经提交了,并且审核通过【滑稽】
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| thelma | 1.00 | 0 | 2021-07-28 21:09:21 | 一个受益终生的帖子~~ |
| Track-聂风 | 25.00 | 0 | 2021-07-23 17:05:54 | 一个受益终生的帖子~~ |
| Track-聂风 | 25.00 | 0 | 2021-07-23 17:05:54 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
0 Reply
|
Until 2021-7-21 |
1109 View
LoginCan Publish Content
返回:技术文章投稿区
实战纪实
