1.網站源碼

三種方法：
方法一：dirsearch掃描git泄露



有文件下載

拿到flag

方法二：御劍（超時10s）
御劍其實也可以掃出來，但是一般我們掃域名超時時間都是三秒，本環(huán)境中需要超時10秒才能得到

方法三：burp根據已知字典掃
參考：

https://www.cnblogs.com/carr0t/p/websitesource.html

2.bak文件

當開發(fā)人員在線上環(huán)境中對源代碼進行了備份操作，并且將備份文件放在了 web 目錄下，就會引起網站源碼泄露。

有些時候網站管理員可能為了方便，會在修改某個文件的時候先復制一份，將其命名為xxx.bak。而大部分Web Server對bak文件并不做任何處理，導致可以直接下載，從而獲取到網站某個文件的源代碼
方法一：url后綴
根據提示，在url后加上/index.php.bak
出現文件下載

方法二：curl命令：

總結

以上是生活随笔為你收集整理的CTFHUB《Web-信息泄露-备份文件下载》网站源码，的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。