Lab: Source code disclosure via backup files:通过备份文件泄露源代码

最新推荐文章于 2022-12-20 20:31:52 发布
最新推荐文章于 2022-12-20 20:31:52 发布
阅读量470 收藏
点赞数
文章标签: 数据库 java 安全 tomcat spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/120793765
版权

靶场内容:

该实验室通过隐藏目录中的备份文件泄露其源代码。为解决实验室,识别并提交数据库密码,该密码已硬编码在泄露的源代码中。

漏洞分析

  • 浏览/robots.txt并注意它显示/backup目录的存在。image
  • 浏览以/backup查找文件ProductTemplate.java.bak。或者,右键单击站点地图中的实验室,然后转到 "Engagement tools" > "Discover content".。然后,启动内容发现会话以发现/backup目录及其内容。image
  • 浏览以/backup/ProductTemplate.java.bak访问源代码。image
  • 在源代码中,请注意连接构建器包含 Postgres 数据库的硬编码密码:uqenbr5y8hsd9jqe379jmz4kzz8d990y
  • 回到实验室,点击“提交解决方案”,输入数据库密码,解决实验室问题。
Zeker62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
BurpSuit官方实验室之信息泄露
tpaer的博客
11-15 771
这是BurpSuit官方的实验室靶场,以下将记录个人信息泄露共5个Lab的通关过程。
Readactor: Practical Code Randomization Resilient to Memory Disclosure阅读笔记(一)
小猴子的博客
07-30 1227
Readactor:实用的代码随机化来灵活应对内存泄漏问题-阅读笔记(一)前段时间在学习信息系统安全方面的内容,阅读了很多相关论文。其中对Readactor: Practical Code Randomization Resilient to Memory Disclosure这篇论文阅读之后,我进行了一些整理和总结,讨论了我对这篇论文的理解、分析和评价,包括论文工作的核心思想和主要贡献。
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 407
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
Resin Application Server 4.0.36 Source Code Disclosure
cnbird's blog
06-09 1748
Resin Application Server 4.0.36 Source Code Disclosure Vulnerability Vendor: Caucho Technology, Inc. Product web page: http://www.caucho.com Affected version: Resin Professional Web And Application
git .git 文件夹_通过暴露的.git文件夹进行源代码披露
weixin_26722031的博客
08-31 709
git .git 文件夹Greetings! everyone, 问候! 大家, I hope you all are doing well. Today i am going to write about source code disclosure through exposed .git folder in a website/work environment. This will als...
备份文件泄露
fansenliangren的博客
11-23 1169
应用在开发测试及运行过程中,应用中会遗留过时文件(bak文件、rar打包的源码等)、运维文件(log文件等)、备份源码(如SVN、git等)、渗透测试遗留文件(测试webshell等)、开发文件等敏感信息,可通过浏览器直接访问下载。
prepaid-disclosure-files:CFPB关于预付帐户的最终规则中的模型和示例披露表格的本机设计文件和源代码-Form source code
03-25
这个软件库包含本机设计文件和源代码,模型和样品披露表的消费者金融保护局(CFPB)为其设计了的电子资金划拨法(条例E)之下,真理在借贷法(规则Z)。 关于预付费规则 2016年10月5日,CFPB为预付费帐户用户敲定了...
ustt-disclosure::laptop:uStudio前端测试任务
05-22
Details应显示通过Disclosure组件的children传递的主要内容。 当您单击Summary ,将发生以下情况: 如果“ Disclosure组件处于关闭状态,则“ Details应打开到最大高度,并显示其中的内容; 如果Disclosure组件...
MSCellAccessory(iPhone源代码)
03-17
所谓AccessoryType,就是用于在列表cell的尾端显示一个小按钮,用于提示此cell的一些功能,比如DETAIL DISCLOSURE,DISCLOSURE INDICATOR,CHECKMARK 等等。可以自定义Accessory的颜色以及风格(是否是扁平化flat...
信息泄露之web源码泄露
keep_reading的博客
09-26 4124
文章目录web源码泄露.hg源码泄露.git源码泄露.DS_Store源码泄露网站备份压缩文件SVN导致文件泄露 web源码泄露 由于代码管理工具和代码管理平台在备份或更新时留下的备份文件和配置文件,这类文件往往导致了web源码泄露问题 .hg源码泄露 漏洞成因:hg init的时候会生成.hg文件,在网站根目录下, http://www.example.com/.hg/ 可以通过手动搜索也可以用下面这个工具 dvcs-ripper rip-hg.pl -v -u http://www.example.co
Android allowBackup属性介绍&安全漏洞问题
ZhaoXiansen_的博客
07-16 663
allowBackup 是什么 AndroidManifest.xml 中配置allowBackups属性,创建应用程序默认是true 我们可以在Android应用程序中利用自动备份,以便用户在卸载手机后切换电话或重新安装我们的应用程序时,可以更快地恢复其数据。 如果用户以任何方式(包括通过设备的出厂重置)删除该应用程序,则当用户重新下载该应用程序并安装.apk时,该应用程序的数据仍将可用。 自动备份还可以在各种设备上使用,这意味着当您的用户使用新手机时,他们不会从您的应用中丢失关键信息。 allowBa
前端源码泄露
lyink001的博客
12-16 3224
攻击者可以通过泄露的前端源代码可以针对源代码对代码中各种信息如隐蔽接口、API、加密算法、管理员邮箱、内部功能等等,或者接口API可以尝试未授权漏洞,拼接接口越权漏洞,查找源代码中关键字去GitHub查找程序源码进行代码审计。
敏感信息泄露
最新发布
A182184的博客
12-20 321
portswigger靶场敏感信息泄露的一些实验,留下自己做的痕迹方便自己学习也希望能够帮助大家
CTF——Web网站备份源码泄露
weixin_51735061的博客
04-17 7617
CTF——Web网站备份源码泄露
文件泄露漏洞
wanna的博客
07-18 6098
文件泄露: 相关知识总结: 由版本管理软件导致的泄露:(可以了解一下版本管理软件是什么和它的用途,这将有助于你了解相关的文件泄露漏洞“在这就不介绍了由于时间原因并没有对该内容进行详细的了解”) Github导致文件泄露 在Github中被泄露的敏感信息主要包括以下几类     邮箱信息     SVN信息     内部账号及密码     数据库连接信息     服务器配置信息 ...
CTFHUB Web题解记录(信息泄露、弱口令部分)
豆傻小饼干随记
03-18 7007
以下内容只是自己做题的一个记录,不喜勿喷 一、信息泄露 1、目录遍历 这里通过观察目录的情况,发现目录都是 /flag_in_here/1/%d 的样式,于是构造脚本 #!/usr/bin/python3 # -*- coding: utf-8 -*- # --author:valecalida-- import urllib.request import urllib.re...
php安全测试工具,免费的高级Web应用程序安全测试工具
weixin_34374684的博客
03-10 294
比起Appscan和webinspect以及WVS,还有国产的zwell开发的JSKY,SandCat这款工具可能稍微逊色了点,但是毕竟作为免费的工具比较少,下面就来介绍一下这个工具的功能界面如下:SandCat 这是一个了不起的工具来工作。SandCat有两个版本-自由与专业版。SandCat所具有功能:* 缓冲区溢出* Cookie Manipulation *Cookie 修改*命令执行* ...
WEB中的敏感文件泄漏
weixin_34167043的博客
09-23 1161
文件泄露, 根据泄漏的信息敏感程度, 在WEB漏洞中可以算是中危甚至高危的漏洞, 本篇文章就来 介绍下一些常见的泄漏, 主要分为由版本管理软件导致的泄露, 文件包含导致的泄露和配置错误导致的泄露. 版本管理软件造成的泄露 git git可以说是当今最受欢迎的版本控制/版本管理软件了, 很多基于git的云端托管仓库都提供了 免费的托管服务, 甚至有不少还支持免费私有仓库, 如bitbucket和国内...
人工智能推动职场公平:机遇与挑战
非政府组织ShareAction发起的Workforce Disclosure Initiative(劳动力信息披露倡议)旨在推动企业增加在人力资源管理方面的透明度,确保技术在提升效率的同时,不对员工隐私造成不当影响。 在学术界,学者们提倡在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值