This topic created in 1133 days ago, the information mentioned may be changed or developed.
 |
1
shakaraka PRO 没有
|
 |
2
cxtrinityy Mar 26, 2023 via Android  1
实际情况想要尝试拉取目标网站的资源也是词典暴力轮询,hash 文件名又不在词典收录范围内,所以是没有可能直接通过 URL 来获取所有资源的
更可靠的是通过网站漏洞来执行 shell 获取网站的资源路径 |
 |
3
Tink PRO 即使暴力轮询也没意义,这个目录完全有可能是虚拟的
|
 |
4
512357301 Mar 26, 2023 via Android 1
肯定不行的。
设计这种存储方案的一看就是经过深思熟虑的,否则为什么要用哈希,直接自增 id 不就行了,就是怕被拖库啊,你现在想要拖库,那自然很难的。 假如让你设计存储方案,估计也会这么设计的,以己之矛攻己之盾,自相矛盾啊 |
 |
5
bjzhush Mar 26, 2023
遍历是不可能的
不过之前有些程序有目录遍历漏洞,类似 ../../ 这种的,可以拿到所有文件列表 |
 |
6
yrj Mar 27, 2023
上帝的技术,可以。
|
 |
7
lzy250 Mar 27, 2023 via iPhone
哈哈,等对方运维把 nginx 的目录浏览打开说不定可以看到。
|
Select Language