首页 > 其他分享 >【整理】【信息收集】敏感文件泄露

【整理】【信息收集】敏感文件泄露

时间:2024-08-25 22:25:38浏览次数:7  
标签:收集 xls filetype inurl 敏感 查找 intitle password 泄露

❗待区分

------------------------------------------------------

利用github、gitee等代码托管平台
• CMS识别
• git源码泄露
• svn源码泄露
• hg源码泄漏
• 网站备份压缩文件
• WEB-INF/web.xml 泄露
• DS_Store 文件泄露
• SWP 文件泄露
• CVS泄露
• Bzr泄露
• GitHub源码泄漏
• php特性配置说明文件composer.json泄露

利用搜索引擎

“Login: ” “password =” filetype: xls ( 搜索存储在excel文件中含有password的数据)。
allinurl: auth_user_file.txt (搜索包含在服务器上的 auth_user_file.txt 的文件)。
filetype: xls inurl: “password.xls” (查找 用户名和密码以excel格式)这个命令可以变为“admin.xls”.
intitle: login password (获取登陆页面的连接,登陆关键词在标题中。)
intitle: “Index of” master.passwd (密码页面索引)
index of / **backup** ( 搜索服务器上的备份文件)
intitle: index.of people.lst (包含people.list的网页)
intitle: index.of passwd.bak ( 密码备份文件)
intitle: “**Index** **of**” pwd.db (搜索数据库密码文件).
intitle: “**Index** **of** .. etc” passwd (安装密码建立页面索引).
index.of passlist.txt (以纯文本的形式加载包含passlist.txt的页面).
index.of.secret (显示包含机密的文档,.gov类型的网站除外) 还可以使用: index.of.private
filetype: xls username **password** email (查找表格中含有username和**password**的列的xls文件).
”*# PhpMyAdmin MySQL-Dump” filetype: txt (列出包含敏感数据的基于php的页面)*
inurl: ipsec.secrets-history-bugs (包含只有超级用户才有的敏感数据). 还有一种旧的用法 inurl: ipsec.secrets “holds **shared** secrets”
inurl: ipsec.conf-intitle: manpage
inurl: “wvdial.conf” intext: “**password**” (显示包含电话号码,用户名和密码的连接。)
inurl: “user.xls” intext: “**password**” (显示用户名和密码存储在xls的链接。)
filetype: ldb **admin** (web服务器查找存储在数据库中没有呗googledork删去的密码。)
inurl: **search** / admin.php (查找**admin**登陆的php页面). 如果幸运的话,还可以找到一个管理员配置界面创建一个新用户。
inurl: password.log filetype:**log** (查找特定链接的日志文件。)
filetype: reg HKEY_CURRENT_USER username (在HCU (Hkey_Current_User)路径中查找注册表文件(registyry)。)
“**Http**://username: **password** @ www …” filetype: bak inurl: “htaccess | passwd | shadow | ht **users**”(查找备份文件中的用户名和密码。)
filetype:ini ws_ftp pwd (通过ws_ftp.ini 文件查找**admin**用户的密码)
intitle: “**Index** **of**” pwd.db (查找加密的用户名和密码)
inurl:**admin** inurl:**backup** intitle:index.of (查找关键词包含**admin**和**backup**的目录。)
“**Index** **of**/” “**Parent** **Directory**” “WS _ FTP. ini” filetype:ini WS _ **FTP** PWD (WS_FTP 配置文件, 可以获取**FTP**服务器的进入权限)
ext:pwd inurl:(service|**authors**|administrators|**users**) “*# -FrontPage-”*
filetype: **sql** ( “passwd **values** *” |” **password** **values** *” | “pass **values** **“) 查找存储在数据库中的**sql**代码和密码。)

------------------------------------------------------

参考

标签:收集,xls,filetype,inurl,敏感,查找,intitle,password,泄露
From: https://www.cnblogs.com/o-O-oO/p/18379646

相关文章

  • 【整理】【信息收集】敏感目录
    一、敏感目录类型二、敏感目录收集2.1在线查询一、敏感目录类型数据文件、配置信息、上传目录、后台登录目录、安装页面、数据库版本、PHP版本、后台压缩包、未授权访问等。二、敏感目录收集2.1在线查询(1)Google语法1)site:查找与指定的网站有联系的URL。用法......
  • Eagle 4.0:强大插件加持的素材收集管理工具
    期待很久的全新 Eagle 4.0 现已正式推出了!Eagle是一款Win/Mac双平台素材收集管理工具,它可以帮你高效整理电脑中的图片、字体、视频、音频等各种素材,是众多设计师、美图收集爱好者的信赖之选。4.0版是一次全面的革新,从全新的插件系统到实用的 AI工具,再到重新设计......
  • 信息收集
    信息收集-HelloCTF(hello-ctf.com)图片搜索网址描述谷歌识图优秀的图片搜索引擎,以搜索效果著称。手机用户可点击浏览器菜单→开启“浏览电脑版网页”以访问上传图片功能。百度识图适合中文网站图片资源搜索的工具。搜狗识图提供人性化的图片识别功能,包括......
  • 信息收集利器|一款功能强大的子域收集工具
    01工具介绍(下载地址见最后)在hw等攻防演练中,信息收集做为演练厨师阶段最重要的步骤,方式方法尤为重要,好的工具达到事半功倍的效果。OneForAll是一款集百家之长,功能强大的全面快速子域收集终极神器。解决以下痛点:在渗透测试中信息收集的重要性不言而喻,子域收集是信息收集中......
  • Oracle 11g 自动统计信息收集
    在Oracle11g中,默认有3个自动任务,分别是:自动统计信息收集、SQL调优顾问、段空间调整顾问,查看方法如下:colCLIENT_NAMEfora40colTASK_NAMEfora40colOPERATION_NAMEfora40SELECTCLIENT_NAME,TASK_NAME,OPERATION_NAME,STATUSFROMdba_autotask_task; 自动统计信息收......
  • 【待做】【整理】敏感文件获取
    一、搜集敏感密码配置⽂件1.1dir命令搜集敏感密码配置⽂件⼀般配置⽂件或者密码⽂件都是:pass.*,config.*,username.*,password.*pwd查看当前工作目录使⽤dir命令来进⾏⽂件查找通过type命令进行查看1.2for循环搜集敏感密码配置⽂件通过for循环来查找匹配pass......
  • 【CTF Web】CTFShow 敏感信息公布 Writeup(目录扫描+信息收集+敏感信息泄露)
    敏感信息公布10有时候网站上的公开信息,就是管理员常用密码解法用dirsearch扫描。dirsearch-uhttps://761187ad-86d1-4a5e-9003-71f2c83577b1.challenge.ctf.show/找到robots.txt。访问:https://761187ad-86d1-4a5e-9003-71f2c83577b1.challenge.ctf.show/ro......
  • 【CTF Web】CTFShow 内部技术文档泄露 Writeup(信息收集+敏感信息泄露)
    内部技术文档泄露10技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码解法用dirsearch扫描。dirsearch-uhttps://4d39f7a4-b1f8-4c9f-8946-e526f3e982af.challenge.ctf.show/没有找到有用的信息。页脚有个document。点进去,是一份pdf。访......
  • 日志收集分析和告警在故障排查中的重要性
    日志收集分析和告警在故障排查中的重要性在数字化时代,软件服务的稳定性至关重要。即便是像网易云音乐这样的大型平台,也难免遇到突发的技术故障。例如,在8月19日下午,网易云音乐疑似出现服务器故障,导致网页端出现502BadGateway报错,App也无法正常使用。这种情况不仅严重影响......
  • 网安入门—信息收集
    1.定义信息收集是指收集有关目标应用程序和系统的相关信息。这些信息可以帮助攻击者了解目标系统的架构、技术实现细节、运行环境、网络拓扑结构、安全措施等方面的信息,以便我们在后续的渗透过程更好的进行。2.分类主动信息收集和被动信息收集区别:(1)收集方式不同主动信息......