常见敏感信息泄露
1.备份文件泄露
1.1 备份文件
常见的文件泄露一般泄露的都是网站的备份文件,常见的备份的文件名通常为 wwwroot、www、子域名等,压缩包后缀通常为 zip、tar.gz 等
/a.zip
/web.zip
/web.rar
/1.rar
/bbs.rar
/www.root.rar
/123.rar
/data.rar
/bak.rar
/oa.rar
/admin.rar
/www.rar
/2014.rar
/2015.rar
/2016.rar
/2014.zip
/2015.zip
/2016.zip
/2017.zip
/1.zip
/1.gz
/1.tar.gz
/2.zip
/2.rar
/123.rar
/123.zip
/a.rar
/a.zip
/admin.rar
/back.rar
/backup.rar
/bak.rar
/bbs.rar
/bbs.zip
/beifen.rar
/beifen.zip
/beian.rar
/data.rar
/data.zip
/db.rar
/db.zip
/flashfxp.rar
/flashfxp.zip
/fdsa.rar
/ftp.rar
/gg.rar
/hdocs.rar
/hdocs.zip
/HYTop.mdb
/root.rar
/Release.rar
/Release.zip
/sql.rar
/test.rar
/template.rar
/template.zip
/upfile.rar
/vip.rar
/wangzhan.rar
/wangzhan.zip
/web.rar
/web.zip
/website.rar
/www.rar
/www.zip
/wwwroot.rar
/wwwroot.zip
/wz.rar
/index.php.swp
/index.php.bak
/index.php.swo
1.2 robots.txt文件
robots.txt文件通常为爬虫声明文件,在这个文件中记录了网站哪些内容可以被爬取,一般存放于网站根目录,可以直接被访问。
2.Git文件泄露
使用Git来管理Web项目时,会在项目根目录下生成一个名为.git
的隐藏文件夹,该文件夹包含有关代码变更的记录和历史。使用这个文件可以用来恢复源代码。
常见漏洞地址:
http://www.xxx.com/.git/
http://www.xxx.com/.git/config
利用工具:
链接:https://pan.baidu.com/s/1fWaE1F5WB35zEV3A5DDATg?pwd=dqj0
提取码:dqj0
使用方法:
python GitHack.py http://IP/.git/
3.DS_store文件泄露
.DS_Store文件是Mac中由Finder创建的,用于存储文件夹的显示设置数据的文件。如果开发者或设计师在发布代码时不删除这些文件,可能会导致文件结构泄漏和源代码等敏感信息的曝露。
常见漏洞地址:
http://www.xxx.com/.DS_Store
利用工具:
链接:https://pan.baidu.com/s/1ZcxXWlBYl10J-cCw24KRPQ?pwd=nv4x
提取码:nv4x
使用方法:
pip install ds-store requests
Usage: python ds_store_exp.py http://www.example.com/.DS_Store
4…hg源码泄漏
与Git的.git文件夹类似,Mercurial使用名为.hg
的文件夹来存储版本控制仓库的信息和历史记录。
常见漏洞地址:
http://www.xxxx.com/.hg/
利用工具:
链接:https://pan.baidu.com/s/1vv5Dh0afuN0sawkrgjFt8Q?pwd=a7nx
提取码:a7nx
使用方法:
rip-hg.pl -v -u http://www.example.com/.hg/
忽略SSL验证
rip-hg.pl -s -v -u http://www.example.com/.hg/
5.SVN文件泄露
Subversion(通常称为SVN)是一个集中式版本控制系统,用于跟踪和管理文件的变更。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。
常见漏洞地址:
http://www.xxx.com/.svn/entries
利用工具:
链接:https://pan.baidu.com/s/1vv5Dh0afuN0sawkrgjFt8Q?pwd=a7nx
提取码:a7nx
使用方法:
rip-svn.pl -v -u http://www.example.com/.svn/
6.CVS泄漏
CVS(Concurrent Versions System)是一个过时的版本控制系统,用于跟踪和管理文件的变化。
http://www.am0s.com/CVS/
利用工具:
链接:https://pan.baidu.com/s/1vv5Dh0afuN0sawkrgjFt8Q?pwd=a7nx
提取码:a7nx
使用方法:
rip-cvs.pl -v -u http://www.example.com/CVS/
7.WEB-INF泄露
常见漏洞地址:
/WEB-INF/web.xml
/WEB-INF/classes/
/WEB-INF/lib/
/WEB-INF/src/
/WEB-INF/database.properties