首页 > 编程语言 >信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

时间:2023-09-05 10:00:33浏览次数:55  
标签:SVN github 指纹识别 源码 https test com

目录

信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

获取后端源码,主要针对的是前端语言js,还有后端语php,python,java等等

后端-开源-指纹识别-源码下载

标签 名称 地址
指纹识别 在线cms指纹识别 http://whatweb.bugscaner.com/look/
指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer
指纹识别 TideFinger潮汐 http://finger.tidesec.net/
指纹识别 云悉指纹 https://www.yunsee.cn/
指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb
指纹识别 数字观星Finger-P https://fp.shuziguanxing.com/#/

CMS识别利用指纹识别工具,就是直接搜索指纹识别出来的cms,然后就会找到源码

后端-闭源

闭源:在网上可能有源码,但是不是在各个源码平台能找到,也算做闭源

配置不当-源码泄漏

识别不出来,利用管理员的漏洞来找到对应的内容

源码泄露问题的参考:https://www.secpulse.com/archives/124398.html

源码泄漏集合:

composer.json:是开发的依赖文件,和git类似

git源码泄露:

Git是一个开源的分布式版本控制系统,在执行`git init`初始化目录的时候,会在当前目录下自动创建一个`.git`目录,用来记录代码的变更记录等。发布代码的时候,如果没有把`.git`这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码。

漏洞利用工具:GitHack

github项目地址:https://github.com/lijiejie/GitHack

利用路径扫描,就可以知道存不存在.git文件,存在的话就可以利用了

利用工具,就可以拖出源码,但并不一定是全部的源码


svn源码泄露

SVN是一个开放源代码的版本控制系统。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。网站管理员在发布代码时,没有使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件,获取到服务器源码。

漏洞利用工具:

1、Seay SVN漏洞利用工具

2、SVN-Hacker-master

利用路径扫描,就可以知道存不存在.svn文件,存在的话就可以利用了


hg源码泄漏

网站备份压缩文件:这种情况,一般所有文件都会在里面

WEB-INF/web.xml 泄露

DS_Store 文件泄露

.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。如果将.DS_Store上传部署到服务器,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。

漏洞利用工具:

github项目地址:https://github.com/lijiejie/ds_store_exp

但是这个工具不支持ip地址的https,域名的https没问题

而且是没有办法得到源码,只能得到文件的目录,也就是知道结构

SWP 文件泄露(过时)

CVS泄露

Bzr泄露(过时)

GitHub源码泄漏

各个问题的解决使用工具:

备份:敏感目录文件扫描

CVS:https://github.com/kost/dvcs-ripper

GIT:https://github.com/lijiejie/GitHack

SVN:https://github.com/callmefeifei/SvnHack

DS_Store:https://github.com/lijiejie/ds_store_exp

源码泄漏原因:

1、从源码本身的特性入口

2、从管理员不好的习惯入口

3、从管理员不好的配置入口

4、从管理员不好的意识入口

5、从管理员资源信息搜集入口

码云资源搜索

通过查看网页的数据包里面的脚本文件,来找关键信息

解决1:识别出大致信息却无下载资源:

知道名字,但是官方不维护了,用的人也少,然后导致下载不到

解决2:未识别出信息使用码云资源获取:

去那种开发人员愿意去的论坛,看有没有自己想要的开发作者的信息及其发布的信息

解决3:其他行业开发使用对口资源站获取:

违法类的,黑产类的

涉及平台:

https://gitee.com/

https://github.com/

https://www.oschina.net/

https://www.huzhan.com/(黑产,其他的还可以通过引擎搜索)

GITHUB资源搜索:

in:name test #仓库标题搜索含有关键字

in:descripton test #仓库描述搜索含有关键字

in:readme test #Readme文件搜素含有关键字

stars:>3000 test #stars数量大于3000的搜索关键字

stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字

forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素

license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字

user:test in:name test #组合搜索,用户名test的标题含有test的

关键字配合谷歌搜索:

通过前面步骤获得的源码,然后因为有很多程序源码里面会有程序员开发者的邮箱等信息,所以利用这个方法去找到所有有这个信息的项目源码

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @126.com

site:Github.com smtp @163.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

site:Github.com String password smtp

特征关键文件

找数据包的JS文件名、脚本文件名

image-20230904191630229

像这种的不用管,因为可能是参数,因为java会有很多路由,要找带后缀的

image-20230904192817055

像这种,带脚本后缀名的,然后去github搜之后,去看这个路径是不是也和github项目里面的路径一致,然后去测试这个路径下的其他文件,看一下会不会有反应,有的话就说明找到了相关的源码

标签:SVN,github,指纹识别,源码,https,test,com
From: https://www.cnblogs.com/Ais0329/p/17678899.html

相关文章

  • nginx安装 - 二进制源码编译安装(CentOS7 + nginx 1.20.2)
    Linux系统-部署-运维系列导航 Nginx介绍官方网站为:http://nginx.org/。它是一款免费开源的高性能HTTP代理服务器及反向代理服务器(ReverseProxy)产品,同时它还可以提供IMAP/POP3邮件代理服务等功能。它高并发性能很好,官方测试能够支撑5万的并发量;运行时内存和CPU占用率......
  • ECshop仿顺丰优选综合购物商城平台源码旗舰版+团购+触屏版
    源码介绍:一款时尚简洁的综合通用类模板,整站宽屏,头部含多个下拉菜单、购物车及搜索功能,方便扫描;首页商品楼层功能,调用限时抢购和下期限时抢购功能,底部调用评论功能,添加了邮件订阅。二级分类页新增自定义组合筛选、商品排序、翻页等功能;商品详情页开发单选属性、数量加减、剩余件数、......
  • 自适应红色大气虚拟手机靓号交易商城网站源码
    源码分享:靓号虚拟商城源码跟之前发布的有点不同的就是,之前的是做QQ靓号的二这个是用于做手机靓号交易平台网站的。但从布局跟设计来看我更喜欢今天发的这个,UI看上去是两年前的流行样式但是只需要简单的修改下CSS就是一个大气的手机靓号交易平台网站,源码带手机版,以及手机靓号回收功......
  • “汪星与喵星”宠物伙伴交流网站的设计与实现-计算机毕业设计源码+LW文档
    1.选题的背景和意义背景:随着时代的飞速发展,计算机已经成为我们生活中必不可少的一部分,并以其便捷的信息传输形式改变着人们以往的消费观念。随着城市经济的快速发展,人们的生活水平也在不断的提高,越来越的家庭开始选择饲养宠物作为排解压力、增添生活乐趣的方式,也有人更将宠物视为......
  • 阳光驿站快递人员管理系统-计算机毕业设计源码+LW文档
    1.选题目的、意义及研究现状:目的与意义:随着我国国民经济建设的蓬勃发展和社会主义市场经济体制的迅速完善,各个行业都在积极使用现代化的手段,不断改善服务质量,提高工作效率,这些都在很大程度上给企业提出了越来越严峻的挑战,对企业体系无论是在行政职能、企业管理水平以及优质服务上......
  • 权限管理系统的设计与实现-计算机毕业设计源码+LW文档
    1.1研究背景随着信息技术高速的发展,越来越多的企事业单位使用管理系统来提高管理效率。在软件公司,具有许多软件项目需要开发,为了更好的管理开发过程,涉及了许多用户角色,包括项目经理、需求分析师、系统分析师、开发人员、测试人员、运维人员等,不同的人员在开发过程中,具有不同的工作......
  • 驾校科目一模拟考试练习APP的设计与实现-计算机毕业设计源码+LW文档
    摘要随着信息技术的发展,管理系统越来越成熟,各种企事业单位使用各种类型的管理系统来提高工作效率,从而降低手工操作的弊端。我国政府一直以来都非常重视驾校教育的发展,近几年来驾考学生人数逐渐增加,对科目一考试的需求越来越多。因此,通过开发驾校科目一模拟考试练习APP来提高学习......
  • 网络外卖系统的设计与实现-计算机毕业设计源码+LW文档
    摘要随着信息技术和移动支付的发展,当前电子商务越来越成熟,各行业逐渐从传统的线下销售转移到线上中来,电子商务与其低廉的成本高回报的方式带动了企业经济发展。一直以来,点餐都是在线下进行,面对的客户群有限,又加上这些年的疫情影响,给餐饮的销售工作带来了阻碍。基于此,把美食转移到......
  • 【全套】源支付5.18最新版协议去授权全套三端开源源码_客户端+云端+监控+协议三网免挂
    推荐系统为:               材料自取:提取码:m1cxCentOS7.6Linux系统环境:Nginx1.20.1+MySQL5.6.50+PHP-7.2+Redis将商户后台源码上传解压运行目录为Public伪静态为thinkphp访问域名傻瓜模式安装后台安装完了sudorpm-Uvhhttps://packages.......
  • ChatGLM2 源码解析:`ChatGLMModel`
    #完整的GLM模型,包括嵌入层、编码器、输出层classChatGLMModel(ChatGLMPreTrainedModel):def__init__(self,config:ChatGLMConfig,device=None,empty_init=True):super().__init__(config)#如果设置了`empty_init`,创建任何PyTorch模块时,不初......