实战场景:从 robots.txt 泄露说起
在渗透测试的初期信息收集中,有一个文件往往被新手忽略,却可能成为攻击者眼中的'藏宝图'——robots.txt。
记得在一次攻防演练中,目标系统前台没有任何明显漏洞。但安全同事只花了一分钟访问了 目标域名/robots.txt,发现里面 Disallow 了一个 /backup_2023.zip 路径。直接访问该路径,下载到了包含数据库账号密码的备份文件。
全程未利用任何技术漏洞,仅靠一个配置文件。这就是 robots.txt 的安全价值。
渗透测试思路
在这个训练挑战中,你将了解 Robots Exclusion Standard。robots.txt 文件被网络爬虫用于检查它们是否被允许爬取和索引你的网站,或者只是网站的部分内容。有时这些文件会暴露目录结构,而不是保护内容不被爬取。
- 打开题目场景
访问目标站点,观察根目录下是否有
robots.txt。
- 利用 Robots 协议
发现根目录下有一个
f10g.php的文件,访问这个文件内容。
- 获取 Flag
访问网站根目录的
f10g.php文件,得到正确答案。
核心原理:Robots 协议详解
在安全圈交流时,我听到过新手说「Repbots 漏洞」。其实这是一个口误,正确的术语是 Robots 协议,具体体现在网站根目录下的 robots.txt 文件。
虽然它不是传统意义上的「漏洞」,但在信息收集阶段,robots.txt 往往是攻击者眼中的「藏宝图」。
什么是 Robots 协议?
Robots Exclusion Protocol(机器人排除协议)是网站告诉搜索引擎爬虫(如 Google、百度)哪些页面可以抓取,哪些不可以的国际标准。
本质: 它是一个君子协议,没有强制约束力。
