参考文献:https://www.jianshu.com/p/15b63d14781f
GitHack地址
https://blog.csdn.net/gitchat/article/details/79014538
GIT 源码泄露
GitHack是一个.git泄露利用测试脚本,通过泄露的文件,还原重建工程源代码。
工作原理
- 解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 )
- 去.git/objects/ 文件夹下下载对应的文件
- zlib解压文件,按原始的目录结构写入源代码
- 用法:
GitHack.py http://www.baidu.cn/.git/
SVN 导致文件泄露
假如可以访问http://www.baidu.com/.svn/entries有内容,就可能存在svn泄露
可以使用工具dvcs-ripper下载网站源码
用法:
rip-svn.pl -v -u http://www.baidu.com/.svn/
####DS_Store 文件泄漏
假如可以访问http://www.baidu.com/.ds_store有内容,就可能存在DS_store泄露
可以使用工具dsstoreexp,下载源代码用法
ds_store_exp.py http://www.baidu.com/.ds_Store
网站备份压缩文件
1 | .rar .zip .7z .tar.gz .bak .swp .txt |
WEB-INF/web.xml 泄露
假如可以访问http://www.baidu.com/WEB-INF/web.xml查看配置文件