文章总结： 本文介绍了robots.txt文件的作用及泄露敏感信息的风险，通过实验演示了访问该文件发现后台路径、下载数据库文件、解密MD5获取管理员密码并登录后台的全过程。建议管理员避免在robots文件中暴露敏感路径，加强敏感文件保护以防止信息泄露。 综合评分： 75 文章分类： WEB安全,渗透测试

网安实验干货每日分享Robots.txt文件利用-0123

原创

建哥聊安全 建哥聊安全

建哥聊安全

2026年1月23日 15:51 湖南

Robots.txt文件利用

实验目的

通过本实验，掌握robots.txt文件的的介绍、作用以及利用方法。

实验环境

·操作机：Win10 用户名：Administrator 密码：Sangfor!7890

·靶机：Apache + PHP

·实验地址：http://ip/phpok/index.php

实验原理

robots.txt文件介绍

robots.txt是一个简单的以.txt结尾的文本文件，robots.txt文件本身没有什么漏洞。搜索引擎能够通过robots文件能够获知哪些页面能够爬取，哪些页面不能够爬取。但是如果robots.txt文件编辑的太过详细，反而会泄露网站的敏感目录或者文件，好比网站后台路径，从而得知其使用的系统类型，从而有针对性地进行利用。

robots.txt漏洞测试方法

通过使用工具爬虫，对网站敏感文件目录进行扫描，对robots文件进行爬取。或者直接在url链接后添加/robots.txt进行测试。

robots.txt漏洞危害

攻击者可经过发现robots.txt文件，收集网站的敏感目录或文件，从而有针对性的进行利用。

实验步骤

1、登录”Attack”操作机，打开浏览器，访问http://ip/phpok/

2、访问http://ip/phpok/robots.txt，检查Web站点根目录下是否存在robots.txt文件

3、根据robots.txt文件中的路径，直接在域名后手工一一输入查看效果

4、其中datam目录下有一个install目录，点击进去发现数据库文件，点击下载

5、打开数据库文件查看，找到会员账户的敏感信息

6、对密码进行MD5解密，可得会员密码信息。比如对会员账户为admin的密码进行解密

7、在网站首页，点击登录，用获取的用户名密码登录

8、登录admin会员账号成功，可以查看admin会员的账户信息。

实验总结

通过本实验，掌握在信息泄露中，通过Robots.txt文件泄露收集网站的敏感目录或文件，从而有针对性地进行利用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：建哥聊安全 建哥聊安全 建哥聊安全《网安实验干货每日分享Robots.txt文件利用-0123》