搬砖笔记-Everything软件的“HTTP 服务器”功能安全漏洞

最新推荐文章于 2024-05-06 15:33:25 发布
最新推荐文章于 2024-05-06 15:33:25 发布
阅读量919 收藏
点赞数
分类专栏: 软件相关 Web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wm_nnxx/article/details/107697133
版权

一款优秀的文件检索工具,Everything。

漏洞原理:

Everything 提供了ETP/FTP服务和 HTTP 服务器的功能,它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载。
在这里插入图片描述
当我们的电脑处于公网ip中,并开启 Everything 的HTTP服务器后,其他用户可以通过互联网上的其他电脑对我们的电脑上的文件进行查看与下载。
在这里插入图片描述

防御方法:

如果要继续使用 HTTP 服务器功能:

请为 HTTP 服务器设置用户名密码
关闭路由器 DMZ 主机功能
关闭 HTTP 服务器端口的外网访问权限

如果不使用 HTTP 服务器功能:

确保 Everything 的 HTTP 服务器功能关闭
检查路由器的防火墙设置

使用软件的时候都关注下是否带有且默认开启的敏感功能,尤其是文件相关的,命令相关的,安全风险极大。

梦想成为安全大佬的男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Everything信息泄露漏洞
chaojixiaojingang
08-27 1200
1.漏洞描述 Everything是Windows上一款搜索引擎,由于配置中开启了ETP/FTP和HTTP服务,并未设置账号密码,导致可以访问服务器文件。 2.漏洞复现 (1)选择启用HTTP服务器 (2)访问xx.xx.xx.43,可直接浏览、下载电脑文件,导致敏感信息泄露 ...
Everything HTTP服务缺陷:允许任何人远程访问本地文件
Keylion ,Your Hero
10-15 5412
【漏洞原因】 Everything 作为一个文件检索工具,内置了一个HTTP服务器功能,可以实现用户本地或者局域网中的其他用户使用浏览器访问文件,并下载。 此次出现问题的是在公网环境中开放了HTTP服务的主机,如果没有开放此功能并不会有风险,所以不需要卸载Everything。 使用谷歌搜索Everything 索引 C:\user 可以发现有相当数量的主机文件已经暴露: 点击其中...
Everything搭建FTP/HTTP服务
最新发布
Tony1154的博客
05-06 862
搭建FTP服务器就勾选启用ETP/FTP服务器,并且设置一下用户名和密码,其他选项非必要可以不用设置,然后点击应用确定即可。搭建HTTP服务器就勾选启用HTTP服务器,并且设置一下用户名密码,其他选项非必要也可以不用设置,然后点击应用确定即可。即可登录Everything的HTTP服务网页了,点击里面的文件可以通过浏览器的方式进行下载。此时会出现刚才创建的FTP网络共享的图标,下次访问的话双击即可。然后输入之前设置好的用户名密码,点击登陆即可。输入之前设置好的用户名密码,点击登录。设置一个名称,下一步。
软件相关】Everything&SumatraPDF的一个小bug
Explore_Zhou
04-20 1136
问题描述   Everything是很多人都会安装的一个文件检索软件,但是最近发现一个小问题,那就是使用Everything搜索之后打开的路径中的pdf无法用SumatraPDF打开,并且报错SumatraPDF is running as a admin and cannot open files from a non-admin process 参考链接 问题解决   把Everything卸载,然后重装的时候不要用管理员身份安装。 补充   Everything默认是不能检索外部磁盘的文件,需要在设置
Everything-启用http服务器(公网IP)会导致共享文件被搜索引擎搜索
weixin_43658354的博客
10-15 1487
Everything-启用http服务器(公网IP)会导致共享文件被搜索引擎搜索 漏洞利用成功的前提 公网ip 启用http服务器 2.产生原因 启用http服务器功能点:让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载。若拥有公网IP的用户启用此功能,就是“全网分享”。 3.查找方法 google语法查找 allintitle: Everything C:\Windows …...
Everything搭建http服务器
qq_45212655的博客
04-05 398
突然发现everything还可以搭建http服务器,给大家分享一下。打开everything,按图示填写或选择内容。再输入刚才设置的账户密码,即可使用。在浏览器输入你的本地地址和端口。
软考中级 - 软件设计师 - 专题复习笔记3
06-14
软考中级 - 软件设计师 - 专题复习笔记3软考中级 - 软件设计师 - 专题复习笔记3软考中级 - 软件设计师 - 专题复习笔记3软考中级 - 软件设计师 - 专题复习笔记3软考中级 - 软件设计师 - 专题复习笔记3软考中级 - 软件...
冰河的渗透实战笔记-冰河.pdf
05-18
冰河整理的全网首个开源的以实战案例为背景的渗透实战笔记,全书共442页,共计37万字(不计空格)。整本书的内容涵盖:Kali基础、渗透工具、木马制作、钓鱼链接生成、爆破密码、内存溢出攻击、web渗透、数据提权、...
软件测试-软件测试视频教程学习笔记.zip
04-07
软件测试-软件测试视频教程学习笔记.zip软件测试-软件测试视频教程学习笔记.zip软件测试-软件测试视频教程学习笔记.zip软件测试-软件测试视频教程学习笔记.zip软件测试-软件测试视频教程学习笔记.zip软件测试-软件...
STM8学习笔记---定时器 TIM2功能实现-综合文档
05-20
STM8学习笔记---定时器 TIM2功能实现
windows8下Everything权限问题
Wonder专栏
08-15 5614
作为Everything的老用户,对其依赖
Everything常见问题及搜索技巧,附Demo
weixin_33877092的博客
03-28 5445
1 Everything1.1 “Everything”是什么?“Everything”是一个运行于Windows系统,基于文件文件夹名称的快速搜索引擎。“Everything”在搜索之前就会把所用的文件文件夹都列出来,这一点与Windows自带的搜索系统不一样,所以我们称之为“Everything”。在搜索框输入文字,它就会只显示过滤后的文件和目录。1.2 “Everything”建...
【修复日常bug】执行git push出现“Everything up-to-date”
技术大咖 Rohlin的博客
07-29 426
在Gitee上git clone一个项目,在git push的时候提示"Everything up-to-date",查询网上资料网友们的说法是: 没有git add . 没有git commit -m "提交信息" 如果上面两个步骤都成功执行,还出现这个错误是因为创建的目录下是空的,目录下必须有文件才能git push上传成功 ...
Beyond Compare 4 智能比较工具、文件内容搜索:Everything、Anytxt,WinRAR,7-Zip 解压缩工具、diagrams 流程图工具
蚩尤后裔-汪茂雄
08-15 4584
目录 Beyond Compare 概述与下载 Beyond Compare 友好使用 Beyond Compare 概述与下载 1、使用简单、功能强大的命令比较文件文件夹,合并更改、同步文件和生成报告。 2、随时随地访问数据:直接访问 FTP 站点、媒体设备、WebDAV 资源、svn存储库和云存储。 3、Beyond Compare 包括用于各种数据类型的内置比较查看器。除了文本,还有比较表、图像、二进制文件、注册表配置单元等。 4、官网下载地址:https://www.scooter.
Everything 信息泄露
Sylon的博客
08-04 2545
google语法: inurl:Diagnostics/index 这个无意间看到别人找到的,其实是everything自带的http服务器功能开启了忘记关,算是管理员自己的疏忽 可以看到开了everything的http服务的机器,由于是administrator权限运行的,所以管理员桌面文件可以直接访问 如果这台服务器有站的话还可以当高级版的目录遍历来...
Everything的HTTP服务器高级使用
weixin_38946164的博客
06-05 3160
问题 最近新入职一家企业,企业内部文档管理使用的是FTP,多年积累下来相当多的文档,导致查找文件相当困难。很多的技术规范、制度以及工作模板,项目经理无法找到,只能找到项目管理室找人了解相关材料,因此文档搜索的功能就亟待解决。另外,由于FTP上有具体项目和系统的文档,因此还需要考虑这些文档不能提供搜索功能,作为PMO的内部人员,还是需要能够查询所有文件,这也是我们的刚需。 解决思路 在解决问题的过程中首先考虑到的是FTP服务器自带的搜索功能,试用了一下ServU的网页版搜索功能,实在是弱爆了,基本搜索不出来,
用搜索神器Everything定位Webshell木马后门
跳舞的驴子
06-27 1051
Everything是速度最快的文件名搜索软件。其速度之快令人震惊,百G硬盘几十万个文件,可以在几秒钟之内完成索引;文件名搜索瞬间呈现结果。它小巧免费,支持中文,支持正则表达式,可以通过HTTP或FTP分享搜索结果。 Everything搜索工具的最大优点是速度。其速度不是快,是极快;用户不是满意,而是震惊。 因为Everything的索引无需逐一扫描硬盘文件,而是直接读取NT
2020十大安全漏洞介绍
gugonggugong的博客
12-07 3905
OWASP(开放式web应用程序安全项目) Top 10 注入 失效的身份认证 1、定义 身份认证:身份认证最常用于系统登录,形式一般为用户名和密码登录方式,在安全性要求较高的情况下,还有验证码、客户端证书、Ukey等 会话管理:HTTP利用会话机制来实现身份认证,HTTP身份认证的结果往往是获得一个令牌并放在cookie中,之后的身份识别只需读授权令牌,而无需再次进行登录认证 2、原理 开发者通常会建立自定义的认证和会话管理方案。但与身份认证和回话管理相关.
ARM笔记-----输出比较
03-31
ARM笔记是一种基于ARM架构的便携式电子设备,主要用于记录和存储文字、图像、音频等信息。它具有以下特点: 1. 轻便便携:ARM笔记通常采用轻薄的设计,重量较轻,易于携带。用户可以随时随地使用它进行记录和查阅。 2. 高清显示:ARM笔记通常配备高分辨率的显示屏,能够呈现清晰细腻的文字和图像,提供良好的阅读体验。 3. 触控操作:ARM笔记支持触摸屏操作,用户可以通过手指或者专用笔进行书写、绘画等操作,使得记录更加直观和便捷。 4. 多功能应用:ARM笔记内置了各种应用程序,如文本编辑器、绘图工具、音频播放器等,用户可以根据需求选择合适的应用进行使用。 5. 长久续航:ARM笔记通常采用低功耗设计,电池寿命较长,可以满足用户长时间使用的需求。 6. 数据同步:ARM笔记通常支持与其他设备的数据同步,用户可以将记录的内容通过云服务或者数据线与其他设备进行同步和备份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值