.DS_Store文件泄露和工具使用

最新推荐文章于 2025-03-06 16:08:01 发布
最新推荐文章于 2025-03-06 16:08:01 发布
阅读量6.1k 收藏 6
点赞数 3
分类专栏: # 信息泄露漏洞 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50464560/article/details/119902170
版权
本文介绍了在使用Xray扫描网站时发现的.DS_Store文件泄露问题。.DS_Store是Mac系统中用于存储文件夹显示信息的文件,如果被上传到线上环境,可能导致目录结构暴露,包括备份和源代码文件。为检测此类漏洞,可以使用ds_store_exp工具,该工具能够解析.DS_Store文件并揭示其包含的目录结构。通过示例,展示了如何使用该工具以及可能获取的信息,提醒开发者注意防止敏感信息泄露。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

最近使用扫描器xray对相关网站进行漏洞扫描的时候,扫描结果中显示有一条.DS_Store文件泄露。但是之前没有去了解过,在此记录一下该漏洞的检测方法。

.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。

如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。

漏洞检测

1.漏洞检测工具:

https://github.com/lijiejie/ds_store_exp

2.工具使用方法:

从github上下载工具到本地后,先安装需要的相关库文件

pip2 install -r .\requirements.txt

执行以下命令对.DS_Store文件进行解析

 python2 .\ds_store_exp.py http://www.xxxx.com/website/face2face/01/pages/.DS_Store

可以看到,通过解析.DS_Store文件可以获取到此目录下的目录结构,如备份文件、源码文件等。可用来进行信息收集。
一个示例:

hd.zj.qq.com/
└── themes
    └── galaxyw
        ├── app
        │   └── css
        │       └── style.min.css
        ├── cityData.min.js
        ├── images
        │   └── img
        │       ├── bg-hd.png
        │       ├── bg-item-activity.png
        │       ├── bg-masker-pop.png
        │       ├── btn-bm.png
        │       ├── btn-login-qq.png
        │       ├── btn-login-wx.png
        │       ├── ico-add-pic.png
        │       ├── ico-address.png
        │       ├── ico-bm.png
        │       ├── ico-duration-time.png
        │       ├── ico-pop-close.png
        │       ├── ico-right-top-delete.png
        │       ├── page-login-hd.png
        │       ├── pic-masker.png
        │       └── ticket-selected.png
        └── member
            ├── assets
            │   ├── css
            │   │   ├── ace-reset.css
            │   │   └── antd.css
            │   └── lib
            │       ├── cityData.min.js
            │       └── ueditor
            │           ├── index.html
            │           ├── lang
            │           │   └── zh-cn
            │           │       ├── images
            │           │       │   ├── copy.png
            │           │       │   ├── localimage.png
            │           │       │   ├── music.png
            │           │       │   └── upload.png
            │           │       └── zh-cn.js
            │           ├── php
            │           │   ├── action_crawler.php
            │           │   ├── action_list.php
            │           │   ├── action_upload.php
            │           │   ├── config.json
            │           │   ├── controller.php
            │           │   └── Uploader.class.php
            │           ├── ueditor.all.js
            │           ├── ueditor.all.min.js
            │           ├── ueditor.config.js
            │           ├── ueditor.parse.js
            │           └── ueditor.parse.min.js
            └── static
                ├── css
                │   └── page.css
                ├── img
                │   ├── bg-table-title.png
                │   ├── bg-tab-say.png
                │   ├── ico-black-disabled.png
                │   ├── ico-black-enabled.png
                │   ├── ico-coorption-person.png
                │   ├── ico-miss-person.png
                │   ├── ico-mr-person.png
                │   ├── ico-white-disabled.png
                │   └── ico-white-enabled.png
                └── scripts
                    ├── js
                    └── lib
                        └── jquery.min.js
 
21 directories, 48 files

工具下载地址:https://github.com/lijiejie/ds_store_exp
工具使用参考:
http://www.lijiejie.com/ds_store_exp_ds_store_file_disclosure_exploit/

.ds_store漏洞泄露
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-07 1680
.ds_store漏洞文件泄漏 .DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 利用工具——ds_store_exp 源码地址:https://github.com/lijiejie/ds_store_exp 这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地(生成一个该,
复现xray——.Ds_Store文件泄露漏洞
记录并分享学习安全的知识点..
01-12 7120
一、.DS_Store文件介绍 .DS_Store是Mac OS保存文件夹的自定义属性的隐藏文件,如文件的图标位置或背景色,相当于Windows的desktop.ini。尽管这些文件本来是为Finder所使用,但它们被设想作为一种更通用的有关显示设置的元数据存储,诸如图标位置视图设置。 例如,在Mac OS X 10.4 "Tiger"中.DS_Store包含了一文件夹的所有文件的Spotlight注释。然而,在Mac OS X 10.5 "Leopard"中这种方式又被更改了,注释(现称为关键字)被改
文件泄漏利用工具: ds-store-exp
12-17
文件泄漏利用工具: ds_store_exp
DS_Store文件泄漏利用python脚本
06-22
.DS_Store文件泄漏利用python脚本,自动检测下载.DS_Store类型泄露源码。
【漏洞挖掘】DS_Store 泄露挖掘
最新发布
xxxssjznsns的博客
03-06 478
waf?那我绕?
.DS_Store 文件泄漏利用脚本-ds_store_exp
SuperherRo的博客
08-21 1136
这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。
Python-这是一个DSStore文件泄漏利用脚本
08-10
这是一个.DS_Store文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。
.DS_Store文件泄漏利用工具: ds_store_exp
专注企业信息安全-sec
11-23 8608
https://github.com/lijiejie/ds_store_exp   .DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。 如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件ds_store_exp 是一个.DS_Store 文件泄漏利用脚本,它解析.DS_...
.DS_Store 文件泄漏利用脚本-ds_store_exp,附下载链接。
白帽子黑客SuperherRo
09-18 772
这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。
ds_store 敏感信息泄露.zip
01-11
理解掌握如何利用及防护.DS_Store文件泄露,对于网络安全专业人士来说至关重要。在CTF竞赛中,这种知识能够帮助参赛者发现利用漏洞,同时也提醒他们在现实世界中应如何避免这样的安全问题。
【Git】Mac忽略.DS_Store文件
主要记录一些问题处理记录,部分是作为知识库使用
03-03 3777
git处理Mac上的.ds_store冲突以及批量删除仓的中的.ds_store文件。本地如何配置批量忽略.ds_store
ds_store_exp:.DS_Store文件泄露漏洞。 它解析.DS_Store文件并递归下载文件
05-09
ds_store_exp A .DS_Store file disclosure exploit. It parses .DS_Store file and downloads files recursively. 这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。 Usage: python ds_store_exp.py http://www.example.com/.DS_Store Install pip install -r requirements.txt Example ds_store_exp.py http://hd.zj.qq.com/themes/galaxyw/.DS_Store hd.zj.qq.com/ └── themes └── galaxyw ├── app │  
Python-dsstore:用于解析.DS_Store文件并提取文件名的
05-03
Python .DS_Store解析器 该存储包含Apple的.DS_Store文件格式的解析器。 ./samples/目录中包含一个CTF格式的示例文件,您可以使用python3 main.py ./samples/.DS_Store.ctf尝试解析器。 这是我的博客文章,试图详细解释其结构格式: : 用法 $ python main.py samples/.DS_Store.ctf Count: 6 favicon.ico flag static templates vulnerable.py vulnerable.wsgi 有用的资源 我发现以下链接在开发解析器时非常有帮助: 执照 麻省理工学院-请参阅License.md
ds_storescanner:扫描Web服务器上的.DS_Store文件工具
05-03
.DS_Store扫描仪 这是一个用Go语言编写的工具,用于 。 用法 ./main --help Usage of ./main: -c Send HEAD request and show status code. Implies -l -d int Maximum recursion depth (default 7) -e Preprend the URL to found files. Implies -l -i string Path to domain list -l Parse .DS_Store and list files -q int Timeout in seconds (default 10) -r Recursively scan directories for
DS_Store 文件泄露
07-11
DS_Store 文件泄露 是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。 .DS_Store是Mac下Finder用来保存如何展示文件/文件夹 的数据文件(即文件夹的显示属性的,文件图标的摆放位置),每个文件夹下对应一个 把代码上传的时候,安全正确的操作应该把 .DS_Store 文件删除,如果未删除,.DS_Store将会上传部署到服务器,可能造成文件泄漏(目录结构、备份文件、源代码文件
.DS_Store泄露
大河之犬的博客
10-26 2409
DS_Store文件是苹果操作系统(如Mac OS)中的隐藏文件,它保存了文件夹的自定义属性、图标布局其他元数据信息。通常,这些文件用于记录文件夹中的视图选项布局设置。就文件本身而言,.DS_Store文件并不会对系统安全造成任何风险。它只是存储了文件夹的一些视觉布局设置,并且只对苹果操作系统的用户可见。但是如果存储敏感信息的文件夹中的.DS_Store文件被泄漏,攻击者可能会利用这些文件夹的视觉布局设置来了解文件夹的内容结构。这可能会威胁到您的隐私安全。
ds_store在写html力的作用,.DS_Store文件泄漏利用工具: ds_store_exp
weixin_29447549的博客
06-27 950
python ds_store_exp.py http://hd.zj.qq.com/themes/galaxyw/.DS_Storehd.zj.qq.com/└── themes└── galaxyw├── app│ └── css│ └── style.min.css├── cityData.min.js├── images│ └── img│ ├── bg-h...
ctfhub技能树—信息泄露—备份文件下载—.DS_Store
qq_46222050的博客
08-23 3421
我们首先了解什么是.DS_Store.DS_Store 文件利用 .DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单。 打开靶机,查看环境。 使用dirsearch进行扫描。发现不一样的。 我们试着去访问.发现可以下载文件,我们下载查看是乱码,我们试着去linux中打开。 在Linux中打开,发现.txt文件.txt后边的不要复制,我们试着去访问,得到flag。 ...
macOS中的.DS_Store文件详解
zhuxiang278的博客
12-23 3294
在macOS的terminal下输入ls -a的时候,我们有时会发现会出现.DS_Strore这样的文件,如下图所示那么这个文件是什么呢?有什么用呢?下面我们来研究下。 .DS_Store的维基百科释义如下: 在苹果的macOS操作系统中,.DS_Store是存储其包含文件夹的自定义属性的文件,例如图标的位置或背景图像的选择。文件的全称为桌面服务存储(Desktop Services Store...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0hnson666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值