CTFHub-技能树-信息泄露 1.目录遍历 文件夹不多,直接手翻就行 2.PHPinfo 直接搜索ctfhub{就能找到 3.备份文件下载 3-1 网站源码 打开之后: 因为这里组合比较少可以手动测试,实战一般直接用工具 尝试发现是www.zip,下载解压 发现flag文件 打开却是空的,尝试无果,去看了wp,在网址后边加上这个txt的文件名就能拿到flag,(涨姿势 可以认为,备份文件比当前使用的文件要旧一些,所以可以结合备份泄露和目录遍历来获取更多信息 3-2 bak文件 提示说在inde