源码泄露+bak备份泄露+vim泄露+.DS_Store(mas迁移泄露)
1.源码泄露
web网站源码打包在web目录下造成泄露,通常以压缩包方式存在,如.zip、.rar、.tar、.tar.gz等,常见命名方式为网站名,www.网站名,backup+网站名等
简单入门题目扫描到压缩包文件进行下载,找到对应文件,查看是否有flag,如果没有,将文件在网页进行打开会有惊喜
2.bak备份泄露
bak备份(自动备份或者手动备份)在网站目录下造成泄露,常见形式为原文件名+拓展名.bak,通过御剑等目录扫描工具扫描下载即可
3.vim泄露
使用 vim 编辑修改文件会自动创建 .swp文件,不正常退出会保留.swp文件
并且下一次修改时也不会覆盖掉原swp文件,会生成.swo,swn等,通过御剑等目录扫描工具扫描下载进行解析即可
4. .DS_Store泄露
在mac文件夹保存数据会自动生成.DS_Store隐藏文件,保用来存如何展示文件或文件夹的数据,当迁移数据时未删除造成信息的泄露。
可以使用ds_store专用工具进行扫描。
DS_Store工具下载地址为https://github.com/lijiejie/ds_store_exp
1).下载完毕后进行解压,在解压好的目录下进入命令行,输入pip install ds-store requests安装依赖
2).输入python ds_store_exp.py url/.DS_Store进行扫描(url代表域名,网址)