Everything配置错误导致敏感信息泄露

最新推荐文章于 2024-04-15 14:53:01 发布
最新推荐文章于 2024-04-15 14:53:01 发布
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43886632/article/details/102594283
版权

1.Everything介绍
Everything是一个私有的免费Windows桌面搜索引擎,可以在NTFS卷上快速地根据名称查找文件和目录。
“Everything” 是 Windows 上一款搜索引擎,它能够基于文件名快速定文件和文件夹位置。
不像 Windows 内置搜索,“Everything” 默认显示电脑上每个文件和文件夹 (就如其名 “Everything”)。

2.漏洞描述
由于在配置中开启了ETP/FTP服务和HTTP服务,导致可以直接访问服务器上的文件。从而任意下载服务器上的文件。

3.漏洞复现
官网下载最新版本
https://everything.en.softonic.com
打开Everything,在 工具 – 选项 – HTTP服务器处,启动HTTP服务并设置端口,在这里我设置为8888
在这里插入图片描述
web访问本地端口的8888即可看到本地文件信息
在这里插入图片描述谷歌搜索公网上的everything
在这里插入图片描述4.修复
最好是关闭http服务功能,或者添加服务器用户名和密码

php00py
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Everything漏洞复现
asstart的博客
11-13 1582
0x00 简介 Everything是Windows上一款搜索引擎,它能够基于文件名快速定文件和文件夹位置。不像window内置搜索,Everything默认显示电脑上每个文件和文件夹。 0x01 漏洞描述 由于配置中开启了ETP/FTP和HTTP服务,并未设置账号密码,导致可以访问服务器的文件。 0x02 受影响范围 Everything软件开启了ETP/FTP或HTTP服务且未设置账号密码的。...
Everything安装包
01-24
"Everything"是一款高效且强大的文件搜索工具,专为Windows用户设计。它以其近乎实时的索引速度和简洁的用户界面而备受赞誉。这款软件能够快速地在计算机的整个硬盘驱动器上建立一个文件和文件夹的索引,使得用户...
Everything信息泄露漏洞
chaojixiaojingang
08-27 1215
1.漏洞描述 Everything是Windows上一款搜索引擎,由于配置中开启了ETP/FTP和HTTP服务,并未设置账号密码,导致可以访问服务器的文件。 2.漏洞复现 (1)选择启用HTTP服务器 (2)访问xx.xx.xx.43,可直接浏览、下载电脑文件,导致敏感信息泄露 ...
Windows文件搜索神器Everything安装配置结合内网穿透实现公网查询本地文件
最新发布
YYDsis的博客
04-15 954
要搭建一个在线资料库,我们需要两个软件的支持,分别是cpolar(用于搭建内网穿透数据隧道,让我们能在公共互联网上访问到本地电脑)和Everything(用于快速检索本地电脑的资料,并提供下载服务)。这两款软件的下载地址如下。Cpolar:*软件下载完成后,就可以直接进行安装至此,我们安装在本地电脑上的Everything软件,就能在公共互联网上访问到。并方便的搜索和下载所需文件资料。
Everything在后渗透阶段的威力
liuyukuan的专栏
11-22 892
本文仅限技术研究与讨论,仅用于信息防御技术,严禁用于非法用途,否则产生的一切后果自行承担! 前段时间在论坛里看到有人讨论Everything不正确配置导致数据泄露风险,然后就想着就写一篇技术搞吧。 0x01 前言 Everything搜索文件资料之神速,有使用过的朋友们都深有体会,相对于Windows自带的搜索功能,使用Everything,可以让我们享受使用搜索引擎一般地在本地硬盘上搜索我们的文件信息。除非用户对外网公开并且开启了HTTP或FTP服务并且没有设置密码才可能导致数据泄露,这么多“并且”
sqlite.interop.dll 请确保此文件可以访问_Everything“HTTP 服务器”漏洞:允许任何人远程访问,解决方法...
weixin_39704971的博客
12-15 217
提醒一下吧!可能有些人已经看到这个消息了。 关于 “Everything” 软件的使用安全,用 Google 搜索 “xxx” 会出现很多电脑文档,直接就可以访问他人电脑文件了。启用 http 服务器功能内网应该是没问题的,但公网就很不安全了,可能被 Google 爬,至少也要加密先。Everything 安全漏洞原因作为一款优秀的文件检索工具,Everything 提供了一个名为 HTTP 服务...
python中WindowsError: [Error 183]错误和os.raname( )详解
热门推荐
qq_22227123的博客
04-11 1万+
       自己在利用python遍历文件夹中文件并重命名时,正确代码代码有时候确报错,出现WindowsError[183]。【183】-->表示当文件存在时,无法创建文件。        ...       os.rename(oldfilepath,newfilepath),该句报错,很可能是因为你的新的路径newfilepath已经和当前文件夹中某个文件重复,故出现上述错误【183...
everything源码
10-04
此外,源码还可能包含了错误处理和调试信息,这对于理解和优化软件性能至关重要。开发者可以研究如何在C++中实现异常处理,以及如何编写有效的日志系统,以便在出现问题时追踪和修复。 对于想要深入学习"Everything...
Everything
04-26
而"Everything"则改变了这一状况,它创建了一个实时更新的文件索引,这个索引包含了系统中的所有文件和文件夹信息。只要输入关键词,它就能立即显示出匹配结果,极大地提高了工作效率。 "Everything"的亮点在于其...
everything软件Pro加强版
09-05
everything软件Pro加强版是一款专门使用来进行资源搜索的工具。当电脑中存储了太多资源的时候使用everything软件Pro加强版就可以轻松的查找出需要的资源来进行使用了。 1、直接网络搜索网址,浏览器收藏夹的高级...
C#仿Everything的实现源代码
06-13
《C#仿Everything的实现源代码》 在IT领域,"Everything"是一款高效、快速的文件搜索工具,它以其近乎即时的搜索速度赢得了广大用户的喜爱。而“C#仿Everything的实现”则是一项旨在利用C#编程语言复现其核心功能的...
Everything 打开文件失败
m0_37626922的博客
02-18 1367
Everything搜索文件后,再打开时出现“没有与之关联的应用来执行该操作,请在“默认应用设置“页面中创建关联”。计算机\HKEY_CLASSES_ROOT\Folder\shell:删除此处的数据值:openinufile,原始应该没有设置值。regedit:打开注册表。
Everything 信息泄露
Sylon的博客
08-04 2552
google语法: inurl:Diagnostics/index 这个无意间看到别人找到的,其实是everything自带的http服务器功能开启了忘记关,算是管理员自己的疏忽 可以看到开了everything的http服务的机器,由于是administrator权限运行的,所以管理员桌面文件可以直接访问 如果这台服务器有站的话还可以当高级版的目录遍历来...
Everything可能泄漏大量电脑敏感资料
木庄
11-07 2308
一款好用的文件搜索工具Everything被批露出现重大问题: Everything可以打开http服务,在没有加密的情况下任何外网电脑都可以连接的。 因此,Everything可能泄漏大量电脑敏感资料。 这里建议大家关掉关键服务或者进行密码验证。 本文来自木庄网络博客> Everything可能泄漏大量电脑敏感资料 ...
Web安全之文件包含漏洞
When you collect everything, you understand nothing.
09-21 580
0x00 文件包含漏洞成因 文件包含漏洞是代码注入的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务器端执行,代码注入的典型代表就是文件包含File inclusion。文件包含可能会出现在jsp、php、asp等语言中。服务器通过函数去包含任意文件时,由于要包含的这个文件来源过滤不严,从而可以去包含一个恶意文件,而我们可以构造这个恶意文件来达到邪恶的目的。常见的文件包含的函数如下: PH...
apache不能启动,一个比较诡异的错误
me.think(everything.about("software")).serialize(this);//古路刀客
11-10 125
      没有什么征兆,突然就是起不来来,查了windows操作日志和apache的log,最后google到这篇文章 解决,记录一下。这篇文章说是因为Windows系统太复杂的缘故,呵呵。         把“启用LMHOSTS搜索”勾打掉就行了。        ...
Everything启动时弹出窗口的问题
Achang的博客
03-04 1万+
百度经验-关闭Everything启动时的弹窗 只需在Everything的设置里,关闭以管理员的身份运行。
Everything HTTP服务缺陷:允许任何人远程访问本地文件
Keylion ,Your Hero
10-15 5461
漏洞原因】 Everything 作为一个文件检索工具,内置了一个HTTP服务器功能,可以实现用户本地或者局域网中的其他用户使用浏览器访问文件,并下载。 此次出现问题的是在公网环境中开放了HTTP服务的主机,如果没有开放此功能并不会有风险,所以不需要卸载Everything。 使用谷歌搜索Everything 索引 C:\user 可以发现有相当数量的主机文件已经暴露: 点击其中...
everything配置HTTP
09-04
配置一个HTTP服务器,你可以按照以下步骤进行操作: ... 2. 如果你使用的是 ...根据你的需求,可能需要进一步的配置和设置,例如添加虚拟主机、配置SSL证书等。具体的配置取决于你选择的服务器软件和你的项目需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值