[CTF]35C3 Junior CTF McDonald

2018, Dec 30    

題目名稱:McDonald

題目網址:http://35.207.132.47:85/

題目說明

Our web admin name's "Mc Donald" and he likes apples and always forgets to throw away his apple cores..

打開網頁會看到

1

什麼按鈕都沒有,查看robots.txt
發現 禁止google爬取 /backup/.DS_Store

2

重點在於.DS_Store

.DS_Store 是一種由蘋果公司的Mac OS X作業系統所創造的隱藏文件,目的在於存貯目錄的自定義屬性,例如文件們的圖標位置或者是背景色的選擇。

這邊使用 ds_store_exp工具 https://github.com/lijiejie/ds_store_exp

.DS_Store工具 將文件遞歸下載

答案最後在/backup/b/a/c/flag.txt

回網頁讀取

http://35.207.132.47:85/backup/b/a/c/flag.txt

也會有一樣答案

35c3_Appl3s_H1dden_F1l3s

# web # security # CTF