首页 > 其他分享 >web敏感文件泄露

web敏感文件泄露

时间:2022-08-17 11:58:21浏览次数:65  
标签:web www 文件 -- com 敏感 泄露 example

FROM:
博客1
博客2

1、版本管理软件造成的泄露

(1)Git

关键文件

git在初始化项目的时候, 会在项目的根目录(可用git rev-parse --show-toplevel查看)创建一个名为.git的隐藏文件夹, 里面包含了本地所有commit的历史记录. 如果无意间将这个目录置于WEB的路径下让用户可以访问,
那么也就泄露了几乎所有的源代码和其他其他敏感信息.

泄露内容

该项目的所有源代码,私有仓库地址,私密配置信息等

利用方法

下载整个目录,用git命令回滚整个项目:

wget -r --no-parent --mirror http://www.example.com/.git
cd www.example.com && git reset --hard

自动化利用脚本:https://github.com/lijiejie/GitHack

GitHack.py http://www.openssl.org/.git/

(2)hg/Mercurial

用法与git相似,但也保留了svn命令简明的特点,且支持Windows/MacOS/Linux三大平台, 不像git需要MinGW才得以运行

关键文件

在初始化项目时,在项目根目录下创建一个名为.hg的隐藏文件,其中包含了代码和分支的修改记录和开发人员的相关信息

泄露文件

项目源代码、项目仓库地址、(可能)仓库用户名

利用方法

下载+回滚

wget -r --no-parent --mirror http://www.example.com/.hg
cd www.example.com && hg revert

(3)SVN/Subversion

关键文件

项目的根目录下会创建一个名为.svn的隐藏文件,包含了所有分支commit信息和代码记录

泄露文件

项目的源代码、svn仓库地址、svn仓库所属用户的用户名

利用方法

下载+回滚:

wget -r --no-parent --mirror http://www.example.com/.svn
cd www.example.com && svn revert --recursive .

工具:dvcs-ripper

(4)bzr/Bazaar

多平台支持,且有图形界面

关键文件

初始化项目时(bzr init/init-repo),根目录产生.bzr的隐藏目录,暴露了源代码和用户信息

泄露信息

源代码、仓库地址、开发者信息

利用方法

wget -r --no-parent --mirror http://www.example.com/.bzr
cd www.example.com && bzr revert

工具:dvcs-ripper

(5)CVS

年代比较久远的版本控制系统,通过它可以追踪源代码的历史变化记录。但因为功能简单,且不支持分支,被svn替代

关键文件

项目在初始化(cvs checkout project)的时候, 会在project目录下创建一个名为CVS的目录

其中保存了各个文件的修改和commit记录. 通过此目录可以获取代码的历史版本。其中两个关键文件为:

CVS/RootCVS/Entries, 分别记录了项目的根信息和所有文件的结构

利用方法

下载+CVS命令

wget -r --no-parent --mirror http://www.example.com/CVS
cd www.example.com && cvs diff *

工具:dvcs-ripper

2、文件包含导致的泄露(配置不当)

(1)**.DS_Store**文件泄露

.DS_Store是macOS目录下的隐藏文件,包含了当前目录结构和一些的自定义信息,如背景和图标位置等

在windows下类似的文件为desktop.ini暴露了.DS_Store文件也就相当于暴露了该目录下的所有内容。

利用方法

.DS_Store的格式为二进制,内部数据结构为Proprietary格式,可以自行解析并递归下载所有文件

(2)web-INF泄露

web-INF目录包含了所有web应用会用到但是不处于web路径中的资源,web应用可以通过getResource等API在servlet的上下文中访问到这些资源。

通常开发者会把许多JSP文件、Jar包、Java的类文件放在该目录下。

WEB-INF/web.xml : Web应用程序配置文件, 描述了servlet和其他的应用组件配置及命名规则.
WEB-INF/database.properties : 数据库配置文件
WEB-INF/classes/ : 一般用来存放Java类文件(.class)
WEB-INF/lib/ : 用来存放打包好的库(.jar)
WEB-INF/src/ : 用来放源代码(.asp和.php等)

利用方法

通过web.xml文件推测应用组件相关类的名字,然后在src目录下查找代码,如果没有源代码可以直接下载class文件反编译即可。

3、备份文件泄露

(1)网站根目录下的网站备份文件

.rar
.zip
.7z
.tar.gz
.bak
.txt
.old
.temp

tar -czvf bakup.tgz *

可被用户打包下载(常用文件名)+(常用压缩包后缀)

(2)编辑器修改文件的自动备份文件

SWP文件:.filename.swp

利用方法:直接访问.swp文件,下载后删去.swp获得源码文件

VIM缓存:index.php.swp

第一次产生的交换文件名为.filename.txt.swp;再次意外退出后,将会产生名为.filename.txt.swo的交换文件;第三次产生的交换文件.filename.txt.swn

4、配置文件泄露

可以通过网站框架文档获得重要配置文件路径

利用方法

识别网站指纹(框架类型)+重要配置文件测试(字典)

5、配置错误导致的泄露

(1)Windows IIS / Apache 目录穿越

程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以访问web根目录的上级从而遍历服务器上的任意文件。

虽然web服务器本身会禁止访问web文件夹以外的地方,但如果开发引入的动态页面,又没有过滤好用户输入,就可能会出现穿越甚至目录遍历。甚至web服务器本身也曾经有类似的漏洞。

利用方法

利用方法

(2)Nginx配置安全

Nginx配置安全

标签:web,www,文件,--,com,敏感,泄露,example
From: https://www.cnblogs.com/zeroEMC/p/16594577.html

相关文章

  • 如何绑定 Webhook 推送
    近几年Webhook在前后端对接的开发模式中变得越来越流行,我们能用事件描述的事物越多,Webhook的作用范围也就越大。Webhook作为一个轻量的事件处理应用,正变得越来越实用。......
  • web入门(信息收集)
    From:https://blog.csdn.net/i_kei/article/details/109605874https://blog.csdn.net/weixin_52805837/article/details/1118272051、web1打开网页源码即可得到flag2......
  • 还在为如何编写Web自动化测试用例而烦恼嘛?资深测试工程师手把手教你Selenium 测试用例
    原文链接本文节选自霍格沃兹测试开发学社内部教材编写Selenium测试用例就是模拟用户在浏览器上的一系列操作,通过脚本来完成自动化测试。编写测试用例的优势:开源,免......
  • [BJDCTF2020]Mark loves cat-1|源代码泄露|变量覆盖
    主要考察了:源代码泄露、变量覆盖共展示了三种获取flag的方式1、打开题目查看未发现有效信息,查看源代码信息,发现返回的dog信息,结果如下:2、使用dirmap进行目录扫描,发现......
  • Docker部署WebDav服务
    问题分析最近在用学校机房中的服务器搭建一个文件共享服务,前期使用了宝塔面板一键搭建了FTP服务器,使用一切正常。但是最近在使用其观看存储的视频文件时播放体验并不友......
  • webRTC构建-Linux版
    linux下构建webRTC#!/bin/bashset-exu__CURRENT__=`pwd`__DIR__=$(cd"$(dirname"$0")";pwd)cd${__DIR__}start_time=$(date-u'+%Y-%m-%dT%H:%M:%SZ')star......
  • Webpack 打包 - 5.webpack 打包其它资源
    1.素材准备:首先准备一些矢量图图标,如,阿里矢量图等。(阿里矢量官网:https://www.iconfont.cn/)随便找一些icon下载到本地  解压出来是这样的 2.文件结构 ......
  • Webpack 打包 - 4.webpack 图片资源打包
    1.文件结构   2.安装webpack、[email protected]@3.3.11-g//(全局)[email protected]@3.3.1......
  • Web优化工具推荐
    ScrutinyMac版是一款简单实用的Web优化工具,Scrutiny具备网站链接检查、搜索引擎优化、拼写和语法检查等多种功能,ScrutinyforMac是网络优化必备工具。软件下载地址Scru......
  • WebGPU的计算着色器实现冒泡排序
    大家好~本文使用WebGPU的计算着色器,实现了奇偶排序。奇偶排序是冒泡排序的并行版本,在1996年由JKornerup提出。它解除了每轮冒泡间的串行依赖以及每轮冒泡内部的串行依赖,......