secret-200pt - HackMD

# secret-200pt [題目在這](https://play.picoctf.org/practice/challenge/296?category=1&originalEvent=70&page=1) ## 題意 ![](https://i.imgur.com/LTN2Tmn.png) ## 解題思路用 wfuzz 來掃描 URL目錄，``` --hc ``` 來過濾掃描出來的資訊，有一個 secret 的目錄 ![](https://i.imgur.com/UN2QTsH.png) 掃出了 assets 和 hidden 兩個目錄 ![](https://i.imgur.com/LaeNQ3y.png) 兩個目錄都沒掃出東西 ![](https://i.imgur.com/hyZWvbB.png) ![](https://i.imgur.com/dMb5KYS.png) 在 URL 輸入 http://saturn.picoctf.net:65352/secret/hidden 出現了一個可登入的頁面，打開開發人員工具，發現有一個 superhidden/login.css ![](https://i.imgur.com/lsWXJNj.png) 在 URL 上沒有 superhidden/login.css，但是有 superhidden，一樣打開開發人員工具， flag 出來啦 ![](https://i.imgur.com/kAFBoEs.png) ## 困難之處學習到了 wfuzz 這個工具可以爆破 URL目錄 Date : 2023/04/17 ###### tags: `picoCTF2022` `Web Exploitation` [`從零開始的 picoCTF`](https://hackmd.io/-KQeDuzrQMOcFNhwU_5eKA?both=) `picoCTF`