По моему, нормальная практика пробивать конфиги по расширениям типа .old, .swp, .php~ . Тулзы типа wfuzz отрабатывают такое за считанные секунды. И если называть это метод CTF-ным, тогда сюда же можно приплюсовать .git, .idea, да и весь брут дир в целом

По мне так pma : pmapass,на свежих версиях, нонсенс)

По сложности, таки да, таск не из разряда Ctrl+C/Ctrl+V