web信息泄露总结

最新推荐文章于 2024-06-05 08:55:33 发布
最新推荐文章于 2024-06-05 08:55:33 发布
阅读量2k 收藏 8
点赞数 6
分类专栏: 刷题之旅100站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45940434/article/details/105946962
版权

前言:

在做web题目的时候,常常会遇到源码泄露的情况,那么找到源码的技能就必不可少了。

0x00

目录、文件爆破
工具可以使用burp ,御剑 等目录扫描工具。
下面是常见目录 或 文件名

.git
.git/HEAD
.git/index
.git/config
.git/description
source
source.php
source.php.bak
.idea/workspace.xml
.source.php.bak
source.php.swp
README.MD
README.md
README
.gitignore
.svn
.svn/wc.db
.svn/entries
user.php.bak
.hg
.DS_store
WEB-INF/web.xml
WEB-INF/src/
WEB-INF/classes
WEB-INF/lib
WEB-INF/database.propertie
CVS/Root
CVS/Entries
.bzr/
%3f
%3f~
.%3f.swp
.%3f.swo
.%3f.swn
.%3f.swm
.%3f.swl
_viminfo
.viminfo
%3f~
%3f~1~
%3f~2~
%3f~3~
%3f.save
%3f.save1
%3f.save2
%3f.save3
%3f.bak_Edietplus
%3f.bak
%3f.back
phpinfo.php
robots.txt
.htaccess
.bash_history
.svn/
.git/
.index.php.swp
index.php.swp
index.php.bak
.index.php~
index.php.bak_Edietplus
index.php.~
index.php.~1~
index.php
index.php~
index.php.rar
index.php.zip
index.php.7z
index.php.tar.gz
index.php.txt
login.php
register
register.php
test.php
upload.php
phpinfo.php
t.php
www.zip
www.rar
www.zip
www.7z
www.tar.gz
www.tar
web.zip
web.rar
web.zip
web.7z
web.tar.gz
web.tar
plus
qq.txt
log.txt
wwwroot.rar
web.rar
dede
admin
edit
Fckeditor
ewebeditor
bbs
Editor
manage
shopadmin
web_Fckeditor
login
flag
webadmin
admin/WebEditor
admin/daili/webedit
login/
database/
tmp/
manager/
manage/
web/
admin/
shopadmin/
wp-includes/
edit/
editor/
user/
users/
admin/
home/
test/
administrator/
houtai/
backdoor/
flag/
upload/
uploads/
download/
downloads/
manager/
root.zip
root.rar
wwwroot.zip
wwwroot.rar
backup.zip
backup.rar
.svn/entries
.git/config
.ds_store
flag.php
fl4g.php
f1ag.php
f14g.php
admin.php
4dmin.php
adm1n.php
4dm1n.php
admin1.php
admin2.php
adminlogin.php
administrator.php
login.php
register.php
upload.php
home.php
log.php
logs.php
config.php
member.php
user.php
users.php
robots.php
info.php
phpinfo.php
backdoor.php
fm.php
example.php
mysql.bak
a.sql
b.sql
db.sql
bdb.sql
ddb.sql
users.sql
mysql.sql
dump.sql
data.sql
backup.sql
backup.sql.gz
backup.sql.bz2
backup.zip
rss.xml
crossdomain.xml
1.txt
flag.txt
/wp-config.php
/configuration.php
/sites/default/settings.php
/config.php
/config.inc.php
/conf/_basic_config.php
/config/site.php
/system/config/default.php
/framework/conf/config.php
/mysite/_config.php
/typo3conf/localconf.php
/config/config_global.php
/config/config_ucenter.php
/lib
/data/config.php
/data/config.inc.php
/includes/config.php
/data/common.inc.php
/caches/configs/database.php
/caches/configs/system.php
/include/config.inc.php
/phpsso_server/caches/configs/database.php
/phpsso_server/caches/configs/system.php
404.php
index.html
user/
users/
admin/
home/
test/
administrator/
houtai/
backdoor/
flag/
uploads/
download/
downloads/
manager/
phpmyadmin/
phpMyAdmin/

0x01

git源码泄露

使用GitHack  或 Git_Extract-master
工具可以在gitub上直接搜索到

使用方法:

python GitHack.py  http://127.0.0.1/.git/
python git_extract.py http://127.0.0.1/.git/

0x02

svn源码泄露

使用dvcs-ripper-master 中的rip-svn.pl
工具可以在gitub上直接搜索到

./rip-svn.pl -u http://127.0.0.1/

0x03

hg源码泄露

使用dvcs-ripper-master 中的rip-hg.pl
工具可以在gitub上直接搜索到

./rip-hg.pl -u http://127.0.0.1/.hg/

结语:

菜鸡的cc师傅,将会持续写出100篇高质量的CTF题目,供大家进行CTF的入门以及进阶,如果觉得文章对您有所帮助,欢迎关注一下cc师傅。

原创文章不易,点个赞再走吧。
在这里插入图片描述

圆圈勾勒成指纹
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一、CTF-Web-信息泄露(记录CTF学习)
qq_27920699的博客
12-16 2608
个人CTF学习之路
WEB安全知识总结.zip
12-27
WEB安全知识总结】 在网络安全领域,Web安全是至关重要的一个环节,因为它涉及到用户数据的保护、企业资产的安全以及服务的稳定运行。本总结将深入探讨一些常见的Web漏洞及其防范措施,帮助读者快速掌握Web安全的...
web渗透思路】敏感信息泄露(网站+用户+服务器)
11-22 7770
【渗透思路】敏感信息泄露
ctfhub 技能树-web-信息泄露
m0_62207170的博客
03-28 824
ctfhub 技能树-web-信息泄露
组件框架信息泄露
最新发布
hakksjss的博客
06-05 571
Actuator是Spring-Boot提供的服务监控和管理中间件,默认配置会出现接口未授权 访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获 取服务器权限一般直接访问,或通过目录爆破 ,大概率在api/v1目录下访问Actuator可获得当前可用的模块beansenv包含:物理路径、java版本、java环境、服务区语言、服务器版本。。。。web应用连接的组件端口、路径、 用户名、密码。
web敏感信息泄漏(36)
yyj1781572的博客
03-31 1814
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理,掌握常见的web信息泄漏漏洞的利用和漏洞防护。
常见web信息泄露
黑战士的博客
10-03 1371
CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。通过找到 web.xml 文件,推断 class 文件的路径,最后直接 class 文件,再通过反编译 class 文件,得到网站源码。是Java的WEB应用的安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。临时文件是在编辑文本时就会创建的文件,如果程序正常退出,临时文件自动删除,如果意外退出就会保留,文件名为。
web中间件常见漏洞总结.pdf
12-14
1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意SQL语句,从而获取敏感信息、篡改数据甚至完全控制数据库。 2. **跨站脚本(XSS)**:XSS漏洞允许攻击者在页面中注入恶意脚本,...
Web测试总结
07-02
Web测试总结Web测试是软件测试的一个重要分支,专注于检查和验证Web应用程序的功能、性能、安全性以及用户体验。以下是对Web测试方法的详细说明: 1. **软件测试基础** - **测试生命周期**:测试过程通常...
信息安全技术:WEB攻击概述.pptx
11-01
随着互联网的发展,Web已经成为主要的信息交流平台,这也使得Web安全成为了信息安全的核心议题。 **Web安全的兴起** Web安全的演变与互联网的发展密切相关。早期,黑客主要针对网络、操作系统和软件进行攻击,但...
常见web应用安全问题总结文档
05-17
以下是对"常见Web应用安全问题总结文档"的详细解读: 1. **SQL注入**:这是一种常见的攻击方式,攻击者通过输入恶意的SQL代码,欺骗Web应用执行非预期的数据库操作。防范措施包括使用预编译的SQL语句、参数化查询,...
CTFHub Web Web前置技能+信息泄露
m0_51150495的博客
06-30 976
目录一、Web前置技能1.HTTP协议请求方式 302跳转 Cookie 基础认证 响应包源代码 二、信息泄露1.目录遍历 2.PHPINFO 3.备份文件下载网站源码 bak文件 vim缓存 .DS_Store 4.Git泄露Log Stash Index5.SVN泄露 6.HG泄露在开启题目后看到出现的链接,提示我们现在所使用的HTTP请求方式为GET方式,需要将请求方式修改为CYF**B来获取flag 我们刷新这个提示页面进行抓包,得到请求方式确实为GET 将数据包发送到Repeater,将GET修改
JS敏感信息泄露:不容忽视的WEB漏洞
swordheart的博客
04-24 4957
0x00 前言 这段时间jsonp漏洞再一次证明了一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞。 0x01 漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务
常见WEB漏洞
2301_76786857的博客
07-17 183
寻找测试网站的文件上传的模块,常见:头像上传,修改上传,文件编辑器中文件上传,图片上传、媒体上传等,通过抓包上传恶意的文件进行测试,上传后缀名 asp php aspx 等的动态语言脚本,查看上传时的返回信息,判断是否能直接上传,如果不能直接上传,再进行测试上传突破,例如上传文件的时候只允许图片格式的后缀,但是修改文件时,却没有限制后缀名,图片文件可以修改成动态语言格式如php,则可能访问这个文件的 URL 直接 getshell,可以控制网站。这种漏洞通常出现在动态包含文件的语言中,如 PHP。
【漏洞利用】信息泄露漏洞详解
weixin_44023442的博客
01-24 8180
参考文章 BurpWeb安全学院之敏感信息泄露 信息泄露漏洞 网络安全web 信息泄露小概 Tag: #信息泄露 Ref:[[002.js信息泄露]] [[002.信息收集/009.信息泄露/001.信息泄露]] 本文仅供交流学习使用! 概述 总结 一、漏洞介绍 信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 二、漏洞原理 信息泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻
服务器私有信息泄露隐患,Web应用系统中的常见漏洞及攻击的方式
weixin_42116681的博客
08-13 587
【IT168 资讯】在Web技术飞速演变、电子商务蓬勃发展的今天,企业开发的很多新应用程序都是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是:Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析web应用系统的...
web-利用信息泄露】(10.1)利用错误消息
08-31 1332
【利用错误消息】
Web常见漏洞
m0_73720136的博客
04-13 263
web常见的一些漏洞以及原理,熟练掌握web漏洞原理对我们的学习很有帮助。一,信息泄露信息泄露是由于web服务器或应用程序没有正确处理一些特殊请求泄露web服务器的一些敏感信息,如用户名,密码,源代码,服务器信息配置信息等造成信息泄露主要三分原因:1,web服务器配置存在问题,导致一些系统文件或配置文件暴露在互联网中2,web服务器本身存在漏洞,在浏览器中输入一些特殊字符,可以访问未授权的文件或者动态脚本文件源码。
WEB安全】详解信息泄漏漏洞
weixin_43025534的博客
05-30 2674
由于网站管理员运维不当,可能会将备份文件、数据库配置文件等敏感文件存放在WEB目录下公开访问,攻击者可以轻松地访问这些敏感文件,从而了解系统的配置细节、密码信息、数据库凭据等重要数据,扩大的攻击面。这种泄漏敏感信息的情况就属于信息泄漏漏洞。
web安全总结文档.doc
11-29
综上所述,通过系统安全设置、数据库及IIS的安全设置以及网站设计程序的代码安全三个方面的综合保护,可以使WEB服务器运行更加稳定和安全,降低被黑客攻击和数据泄露的风险,保障网站运行及用户数据的安全性。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值