1.網站源碼

三種方法：
方法一：dirsearch掃描git泄露



有文件下載

拿到flag

方法二：御劍（超時10s）
御劍其實也可以掃出來，但是一般我們掃域名超時時間都是三秒，本環境中需要超時10秒才能得到

方法三：burp根據已知字典掃
參考：

https://www.cnblogs.com/carr0t/p/websitesource.html

2.bak文件

當開發人員在線上環境中對源代碼進行了備份操作，并且將備份文件放在了 web 目錄下，就會引起網站源碼泄露。

有些時候網站管理員可能為了方便，會在修改某個文件的時候先復制一份，將其命名為xxx.bak。而大部分Web Server對bak文件并不做任何處理，導致可以直接下載，從而獲取到網站某個文件的源代碼
方法一：url后綴
根據提示，在url后加上/index.php.bak
出現文件下載

方法二：curl命令：