漏洞细节
【目录遍历引发的信息泄露】
http://219.245.18.46/
存在目录遍历
【DS_Store信息泄露】
219.245.18.46/.DS_Store
219.245.18.46/._.DS_Store
219.245.18.46/%e5%aa%92%e4%bd%93%e4%ba%91%e6%96%87%e6%a1%a3v1.0/Demo/.DS_Store
简单整理:
【git信息泄露】
http://219.245.18.46/yii/
http://219.245.18.46/yii/.git/
在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。
【其他数据信息泄露】
【证明是西北大学的】
整个C段全部属于西北大学,同时开发文件看到了西北大学的logo
http://219.245.18.46/xmgl/
学校信息:http://219.245.18.46/%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F/
下载了开发文件:219.245.18.46/xlzxdd.rar
siteconfig.inc.php如下 yjf@nwu.edu.cn 西北大学邮箱
【C段下打印机服务未授权访问】
可查看打印机 甚至可以打印相关文档
【SQL注入】
http://lib.nwu.edu.cn/Read.Asp?NewsID=1839
单引号报错