web安全-常见源码泄露汇总

12次阅读

.git 源码泄露

比如某个网站存在.git 文件泄露，可以：进入 http://www.baidu.com/.git 查看是否存在漏洞
利用 githack-master 下载泄漏的文件（python2）进入 githack-master 文件夹后使用命令：python2 GitHack.py http://www.baidu.com/.git/
即可下载源码

.svn 源码泄露：

http://www.example.com/.svn/entries
工具：Seay SVN
进入程序后直接输入 http://www.example.com/.svn/entries 即可

.DS_Store 文件泄露：

工具：ds_store_exp
利用：python ds_store_exp.py http://www.example.com/.DS_Store
最好放入 Linux 打开

.hg 源码泄露

工具：dvcs-ripper
利用：rip-hg.pl -v -u http://www.example.com/.hg/

CVS 泄露

工具：dvcs-ripper
利用：rip-cvs.pl -v -u http://www.example.com/CVS/

Bazaar/bzr 泄露

工具：dvcs-ripper
利用：rip-bzr.pl -v -u http://www.example.com/.bzr/

网站备份压缩文件

常见后缀：.bak   .swp   .rar   .zip   .7z   .tar.gr   .txt   .old   .temp
.index.php.swp
index.php.swp
index.php.bak
.index.php~
index.php.bak_Edietplus
index.php.~
index.php.~1~
index.php
index.php~
index.php.rar
index.php.zip
index.php.7z
index.php.tar.gz
www.zip
www.rar
www.zip
www.7z
www.tar.gz
www.tar
web.zip
web.rar
web.zip
web.7z
web.tar.gz
web.tar
wwwroot.rar
web.rar
利用，用御剑扫描，直接在浏览器下载
有时与下面“vim 缓存”结合使用

vim 缓存

使用 vim 时会创建临时缓存文件，关闭 vim 时缓存文件则会被删除。

vim 异常退出后，因为未处理缓存文件不会被删除，可以通过缓存文件恢复原始文件内容。

以 index.php 为例：

第一次 vim 会创建缓存的交换文件名为 .index.php.swp，再次意外退出后，将会产生名为 .index.php.swo 的交换文件，第三次产生的交换文件则为 .index.php.swn。所以利用为：先利用[http://www.example.com/.index.php.swp](http://www.example.com/.index.php.swp) 获取 index.php.swp 文件

    因为 vim 是在 linux 环境中，利用 linux 打开：vim -r index.php.swp

WEB-INF/web.xml 泄露

WEB-INF 是 Java 的 WEB 应用的安全目录，如果想在页面中直接访问其中的文件，必须通过 web.xml 文件对要访问的文件进行相应映射才能访问。

WEB-INF 主要包含一下文件或目录：

WEB-INF/web.xml    #Web 应用程序配置文件, 描述了 servlet 和其他的应用组件配置及命名规则
WEB-INF/database.properties  #数据库配置文件
WEB-INF/classes/     #一般用来存放 Java 类文件(.class)
WEB-INF/lib/     #用来存放打包好的库(.jar)
WEB-INF/src/     #用来放源代码(.asp 和 .php 等)

利用：直接在域名后面加上 WEB-INF/web.xml 就可以了。根据 web.xml 配置文件路径或通常开发时常用框架命名习惯，找到其他配置文件或类文件路径。dump class 文件进行反编译。

GitHub 源码泄漏

GitHub 是一个面向开源及私有软件项目的托管平台。很多人喜欢把自己的代码上传到平台托管，通过关键词进行搜索，可以找到关于目标站点的敏感信息，甚至可以下载网站源码。

类似的代码托管平台还有很多，人才是最大的漏洞。

好淘云 (haotaoyun.com) · 实时更新全网云服务器优惠 · 分享建站、运维及网络安全小技巧

查看全网最新优惠及详细教程：https://www.haotaoyun.com/new (下面链接点不开的话复制这个到浏览器)

提示：各厂商都一样，优先选择没有注册过的，先薅新人优惠！建议打开链接后先登录，有时候登录后看更便宜。

阿里云专场：
– 免费半年 (学生专属 – 2 核 2G) >> 前往活动会场
– 38 元 / 年 (新人抢购 – 2 核 2G)，68 元 / 年 (新人无需抢购)>> 前往活动会场
– 99 元 / 年 (老客同享 – 2 核 2G) >> 前往活动会场

腾讯云专场：
– 99 元 / 年 (买 1 年送 3 个月 – 2 核 2G) >> 前往活动会场
– 24 元 / 月 (香港免备案 – 2 核 2G) >> 前往活动会场

京东云专场：
– 68 元、158 元 / 年 (每天三场抢购，概率极高 – 2 核 2G、2 核 4G) >> 前往活动会场

野草云专场：
– 99 元 / 年 (香港 / 海外免备案 – 2 核 2G) >> 前往活动会场

正文完

发表至：网络安全

近两天内

0

好淘云 · 最新云服务器活动汇总