常见的敏感文件泄漏总结

Aspark

敏感文件通常指携带敏感信息的文件，最为常见的就是数据库的配置文件、网站源码备份、数据库备份等，管理员为了方便下载，将源码备份放置在 web 目录，然后下载至本地备份，下载完之后忘记删除，从而导致漏洞的出现。

配置文件泄漏

最为典型的就是 spring 框架的配置文件泄漏，常见路径：

• 
  

1. "/env"
   
2. /actuator/env"

复制代码

泄漏信息如图：

这类漏洞通常需要日常收集常见系统的配置文件默认路径，如果存在未授权访问的情况，就会存在文件泄漏的问题。

除了这类常见框架、系统的配置文件泄漏外，还有因为管理员修改配置文件时，为了防止无法恢复，而创建的备份文件，比如 config.php.bak、config.php.20230101 等，这类文件是可以下载的，从而泄漏配置信息。

修复方案

1、对于备份文件，为在系统中使用的，可以删除处置，或者备份到其他无法直接通过浏览器访问的目录

2、在使用的无法删除的文件，需要设置权限，仅限本地访问

网站备份泄漏

网站源码备份是网站管理员经常要做的操作，有的管理员会自动备份到备份服务器，而有些管理员为了简单方便，将服务器上到源码打包压缩后放置在 web 目录，然后从服务器再下载到本地，进行本地备份，下载完成之后是应该删除的，但是由于未做这个操作，导致整站源码泄漏。

备份的文件名通常为 wwwroot、www、子域名等，压缩包后缀通常为 zip、tar.gz 等，通过组合常用备份名称和后缀，可以进行目录扫描，来发现这类备份文件。

下面是某工具的配置文件，收集整理了常见的备份文件组合方式：

1. 
   
2. #  format:  /path  {tag="text  string  to  find"}  {status=HTTP_STATUS}  {type="content-type  should  contain  this  string"}  {type_no="content-type  should  not  contain  this  string"}
   
3. #  each  item  must  starts  with  right  slash  "/"
   
4. 
   
5. 
   
6. /core  {status=200}  {tag="ELF"}
   
7. 
   
8. /../{hostname_or_folder}.old  {status=301}  {type="html"}
   
9. /../{hostname_or_folder}.backup  {status=301}  {type="html"}
   
10. /../{hostname_or_folder}.bak  {status=301}  {type="html"}
    
11. 
    
12. /{sub}.zip  {status=206}  {type="application/octet-stream"}
    
13. /{sub}.rar  {status=206}  {type="application/octet-stream"}
    
14. /{sub}.tar.gz  {status=206}  {type="application/octet-stream"}
    
15. /{sub}.tar.bz2  {status=206}  {type="application/octet-stream"}
    
16. /{sub}.tgz  {status=206}  {type="application/octet-stream"}
    
17. /{sub}.7z  {status=206}  {type="application/octet-stream"}
    
18. 
    
19. /old.zip  {status=206}  {type="application/octet-stream"}
    
20. /old.rar  {status=206}  {type="application/octet-stream"}
    
21. /old.tar.gz  {status=206}  {type="application/octet-stream"}
    
22. /old.tar.bz2  {status=206}  {type="application/octet-stream"}
    
23. /old.tgz  {status=206}  {type="application/octet-stream"}
    
24. /old.7z  {status=206}  {type="application/octet-stream"}
    
25. 
    
26. /{hostname_or_folder}.zip  {status=206}  {type="application/octet-stream"}
    
27. /{hostname_or_folder}.rar  {status=206}  {type="application/octet-stream"}
    
28. /{hostname_or_folder}.tar.gz  {status=206}  {type="application/octet-stream"}
    
29. /{hostname_or_folder}.tar.bz2  {status=206}  {type="application/octet-stream"}
    
30. /{hostname_or_folder}.tgz  {status=206}  {type="application/octet-stream"}
    
31. /{hostname_or_folder}.7z  {status=206}  {type="application/octet-stream"}
    
32. 
    
33. /../{hostname_or_folder}.zip  {status=206}  {type="application/octet-stream"}
    
34. /../{hostname_or_folder}.rar  {status=206}  {type="application/octet-stream"}
    
35. /../{hostname_or_folder}.tar.gz  {status=206}  {type="application/octet-stream"}
    
36. /../{hostname_or_folder}.tar.bz2  {status=206}  {type="application/octet-stream"}
    
37. /../{hostname_or_folder}.tgz  {status=206}  {type="application/octet-stream"}
    
38. /../{hostname_or_folder}.7z  {status=206}  {type="application/octet-stream"}
    
39. /../{hostname_or_folder}.log  {status=206}  {type="application/octet-stream"}
    
40. /../{hostname_or_folder}.sh  {status=206}  {type="application/octet-stream"}
    
41. 
    
42. /temp.zip  {status=206}  {type="application/octet-stream"}
    
43. /temp.rar  {status=206}  {type="application/octet-stream"}
    
44. /temp.tar.gz  {status=206}  {type="application/octet-stream"}
    
45. /temp.tgz  {status=206}  {type="application/octet-stream"}
    
46. /temp.tar.bz2  {status=206}  {type="application/octet-stream"}
    
47. 
    
48. /package.zip  {status=206}  {type="application/octet-stream"}
    
49. /package.rar  {status=206}  {type="application/octet-stream"}
    
50. /package.tar.gz  {status=206}  {type="application/octet-stream"}
    
51. /package.tgz  {status=206}  {type="application/octet-stream"}
    
52. /package.tar.bz2  {status=206}  {type="application/octet-stream"}
    
53. 
    
54. /tmp.zip  {status=206}  {type="application/octet-stream"}
    
55. /tmp.rar  {status=206}  {type="application/octet-stream"}
    
56. /tmp.tar.gz  {status=206}  {type="application/octet-stream"}
    
57. /tmp.tgz  {status=206}  {type="application/octet-stream"}
    
58. /tmp.tar.bz2  {status=206}  {type="application/octet-stream"}
    
59. 
    
60. /test.zip  {status=206}  {type="application/octet-stream"}
    
61. /test.rar  {status=206}  {type="application/octet-stream"}
    
62. /test.tar.gz  {status=206}  {type="application/octet-stream"}
    
63. /test.tgz  {status=206}  {type="application/octet-stream"}
    
64. /test.tar.bz2  {status=206}  {type="application/octet-stream"}
    
65. 
    
66. /backup.zip  {status=206}  {type="application/octet-stream"}
    
67. /backup.rar  {status=206}  {type="application/octet-stream"}
    
68. /backup.tar.gz  {status=206}  {type="application/octet-stream"}
    
69. /backup.tgz  {status=206}  {type="application/octet-stream"}
    
70. /back.tar.bz2  {status=206}  {type="application/octet-stream"}
    
71. 
    
72. /db.zip  {status=206}  {type="application/octet-stream"}
    
73. /db.rar  {status=206}  {type="application/octet-stream"}
    
74. /db.tar.gz  {status=206}  {type="application/octet-stream"}
    
75. /db.tgz  {status=206}  {type="application/octet-stream"}
    
76. /db.tar.bz2  {status=206}  {type="application/octet-stream"}
    
77. /db.log  {status=206}  {type="application/octet-stream"}
    
78. /db.inc  {status=200}  {type_no="html"}
    
79. /db.sqlite  {status=206}  {type="application/octet-stream"}
    
80. 
    
81. /db.sql.gz  {status=206}  {type="application/octet-stream"}
    
82. /dump.sql.gz  {status=206}  {type="application/octet-stream"}
    
83. /database.sql.gz  {status=206}  {type="application/octet-stream"}
    
84. /backup.sql.gz  {status=206}  {type="application/octet-stream"}
    
85. 
    
86. /data.zip  {status=206}  {type="application/octet-stream"}
    
87. /data.rar  {status=206}  {type="application/octet-stream"}
    
88. /data.tar.gz  {status=206}  {type="application/octet-stream"}
    
89. /data.tgz  {status=206}  {type="application/octet-stream"}
    
90. /data.tar.bz2  {status=206}  {type="application/octet-stream"}
    
91. 
    
92. /database.zip  {status=206}  {type="application/octet-stream"}
    
93. /database.rar  {status=206}  {type="application/octet-stream"}
    
94. /database.tar.gz  {status=206}  {type="application/octet-stream"}
    
95. /database.tgz  {status=206}  {type="application/octet-stream"}
    
96. /database.tar.bz2  {status=206}  {type="application/octet-stream"}
    
97. 
    
98. /ftp.zip  {status=206}  {type="application/octet-stream"}
    
99. /ftp.rar  {status=206}  {type="application/octet-stream"}
    
100. /ftp.tar.gz  {status=206}  {type="application/octet-stream"}
     
101. /ftp.tgz  {status=206}  {type="application/octet-stream"}
     
102. /ftp.tar.bz2  {status=206}  {type="application/octet-stream"}
     
103. 
     
104. /log.txt  {status=200}  {type="text/plain"}
     
105. /log.tar.gz  {status=206}  {type="application/octet-stream"}
     
106. /log.rar  {status=206}  {type="application/octet-stream"}
     
107. /log.zip  {status=206}  {type="application/octet-stream"}
     
108. /log.tgz  {status=206}  {type="application/octet-stream"}
     
109. /log.tar.bz2  {status=206}  {type="application/octet-stream"}
     
110. /log.7z  {status=206}  {type="application/octet-stream"}
     
111. 
     
112. /logs.txt  {status=200}  {type="text/plain"}
     
113. /logs.tar.gz  {status=206}  {type="application/octet-stream"}
     
114. /logs.rar  {status=206}  {type="application/octet-stream"}
     
115. /logs.zip  {status=206}  {type="application/octet-stream"}
     
116. /logs.tgz  {status=206}  {type="application/octet-stream"}
     
117. /logs.tar.bz2  {status=206}  {type="application/octet-stream"}
     
118. /logs.7z  {status=206}  {type="application/octet-stream"}
     
119. 
     
120. /web.zip  {status=206}  {type="application/octet-stream"}
     
121. /web.rar  {status=206}  {type="application/octet-stream"}
     
122. /web.tar.gz  {status=206}  {type="application/octet-stream"}
     
123. /web.tgz  {status=206}  {type="application/octet-stream"}
     
124. /web.tar.bz2  {status=206}  {type="application/octet-stream"}
     
125. 
     
126. /www.log  {status=206}  {type="application/octet-stream"}
     
127. /www.zip  {status=206}  {type="application/octet-stream"}
     
128. /www.rar  {status=206}  {type="application/octet-stream"}
     
129. /www.tar.gz  {status=206}  {type="application/octet-stream"}
     
130. /www.tgz  {status=206}  {type="application/octet-stream"}
     
131. /www.tar.bz2  {status=206}  {type="application/octet-stream"}
     
132. 
     
133. /wwwroot.zip  {status=206}  {type="application/octet-stream"}
     
134. /wwwroot.rar  {status=206}  {type="application/octet-stream"}
     
135. /wwwroot.tar.gz  {status=206}  {type="application/octet-stream"}
     
136. /wwwroot.tgz  {status=206}  {type="application/octet-stream"}
     
137. /wwwroot.tar.bz2  {status=206}  {type="application/octet-stream"}
     
138. 
     
139. 
     
140. /output.zip  {status=206}  {type="application/octet-stream"}
     
141. /output.rar  {status=206}  {type="application/octet-stream"}
     
142. /output.tar.gz  {status=206}  {type="application/octet-stream"}
     
143. /output.tgz  {status=206}  {type="application/octet-stream"}
     
144. /output.tar.bz2  {status=206}  {type="application/octet-stream"}
     
145. 
     
146. /admin.zip  {status=206}  {type="application/octet-stream"}
     
147. /admin.rar  {status=206}  {type="application/octet-stream"}
     
148. /admin.tar.gz  {status=206}  {type="application/octet-stream"}
     
149. /admin.tgz  {status=206}  {type="application/octet-stream"}
     
150. /admin.tar.bz2  {status=206}  {type="application/octet-stream"}
     
151. 
     
152. /upload.zip  {status=206}  {type="application/octet-stream"}
     
153. /upload.rar  {status=206}  {type="application/octet-stream"}
     
154. /upload.tar.gz  {status=206}  {type="application/octet-stream"}
     
155. /upload.tgz  {status=206}  {type="application/octet-stream"}
     
156. /upload.tar.bz2  {status=206}  {type="application/octet-stream"}
     
157. 
     
158. /website.zip  {status=206}  {type="application/octet-stream"}
     
159. /website.rar  {status=206}  {type="application/octet-stream"}
     
160. /website.tar.gz  {status=206}  {type="application/octet-stream"}
     
161. /website.tgz  {status=206}  {type="application/octet-stream"}
     
162. /website.tar.bz2  {status=206}  {type="application/octet-stream"}
     
163. 
     
164. /package.zip  {status=206}  {type="application/octet-stream"}
     
165. /package.rar  {status=206}  {type="application/octet-stream"}
     
166. /package.tar.gz  {status=206}  {type="application/octet-stream"}
     
167. /package.tgz  {status=206}  {type="application/octet-stream"}
     
168. /package.tar.bz2  {status=206}  {type="application/octet-stream"}
     
169. 
     
170. /sql.log  {status=206}  {type="application/octet-stream"}
     
171. /sql.zip  {status=206}  {type="application/octet-stream"}
     
172. /sql.rar  {status=206}  {type="application/octet-stream"}
     
173. /sql.tar.gz  {status=206}  {type="application/octet-stream"}
     
174. /sql.tgz  {status=206}  {type="application/octet-stream"}
     
175. /sql.tar.bz2  {status=206}  {type="application/octet-stream"}
     
176. /sql.7z  {status=206}  {type="application/octet-stream"}
     
177. /sql.inc  {status=200}  {type_no="html"}
     
178. 
     
179. /data.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
180. /qq.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
181. /tencent.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
182. /database.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
183. /db.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
184. /test.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
185. /admin.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
186. /backup.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
187. /user.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
188. /sql.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
189. 
     
190. /index.zip  {status=206}  {type="application/octet-stream"}
     
191. /index.7z  {status=206}  {type="application/octet-stream"}
     
192. /index.bak  {status=206}  {type="application/octet-stream"}
     
193. /index.rar  {status=206}  {type="application/octet-stream"}
     
194. /index.tar.tz  {status=206}  {type="application/octet-stream"}
     
195. /index.tar.bz2  {status=206}  {type="application/octet-stream"}
     
196. /index.tar.gz  {status=206}  {type="application/octet-stream"}
     
197. 
     
198. /{hostname_or_folder}.log  {status=206}  {type="application/octet-stream"}
     
199. /logs/{hostname_or_folder}.log  {status=206}  {type="application/octet-stream"}
     
200. 
     
201. /dump.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
202. /{sub}.sql  {status=206}  {type="application/octet-stream"}  {tag="CREATE  TABLE"}
     
203. 
     
204. /old.zip  {status=206}  {type="application/octet-stream"}
     
205. /old.rar  {status=206}  {type="application/octet-stream"}
     
206. /old.tar.gz  {status=206}  {type="application/octet-stream"}
     
207. /old.tar.bz2  {status=206}  {type="application/octet-stream"}
     
208. /old.tgz  {status=206}  {type="application/octet-stream"}
     
209. /old.7z  {status=206}  {type="application/octet-stream"}
     
210. 
     
211. /1.tar.gz  {status=206}  {type="application/octet-stream"}
     
212. /a.tar.gz  {status=206}  {type="application/octet-stream"}
     
213. /x.tar.gz  {status=206}  {type="application/octet-stream"}
     
214. /o.tar.gz  {status=206}  {type="application/octet-stream"}
     
215. 
     
216. /conf/conf.zip  {status=206}  {type="application/octet-stream"}
     
217. 
     
218. /conf.tar.gz  {status=206}  {type="application/octet-stream"}
     
219. 
     
220. /qq.pac  {status=206}  {type="application/octet-stream"}
     
221. /tencent.pac  {status=206}  {type="application/octet-stream"}
     
222. 
     
223. /server.cfg  {status=206}  {type="application/octet-stream"}
     
224. 
     
225. /deploy.tar.gz  {status=206}  {type="application/octet-stream"}
     
226. /build.tar.gz  {status=206}  {type="application/octet-stream"}
     
227. /install.tar.gz  {status=206}  {type="application/octet-stream"}
     
228. 
     
229. /secu-tcs-agent-mon-safe.sh  {status=206}
     
230. /password.tar.gz  {status=206}  {type="application/octet-stream"}
     
231. /site.tar.gz  {status=206}  {type="application/octet-stream"}
     
232. /tenpay.tar.gz  {status=206}  {type="application/octet-stream"}
     
233. 
     
234. /rsync_log.sh  {status=206}  {type="application/octet-stream"}
     
235. /rsync.sh  {status=206}  {type="application/octet-stream"}
     
236. 
     
237. /webroot.zip  {status=206}  {type="application/octet-stream"}
     
238. 
     
239. /tools.tar.gz  {status=206}  {type="application/octet-stream"}
     
240. 
     
241. /users.tar.gz  {status=206}  {type="application/octet-stream"}
     
242. 
     
243. /webserver.tar.gz  {status=206}  {type="application/octet-stream"}
     

复制代码

推荐工具

https://github.com/maurosoria/dirsearch

修复方案

删除备份文件即可

隐藏目录泄漏

常见的隐藏目录泄漏有三种 svn、git 以及 DS_Store，svn 和 git 是代码管理系统，在上线代码时，同步代码的过程中会把因此目录 .git 和 .svn 给同步上去，导致通过远程即可访问该目录下的内容，而 DS_Store 是 mac 系统下自动生成的文件，每个目录下都有，记录了目录下文件变动的历史。

svn

Subversion，简称 SVN，是一个开放源代码的版本控制系统，相对于的 RCS、CVS，采用了分支管理系统，它的设计目标就是取代 CVS。互联网上越来越多的控制服务从 CVS 转移到 Subversion。

svn 更新至 1.7+ .svn/entries 目录就不包含文件目录列表了。检测方法为探测网站目录下是否有 .svn/entries 这个文件，内容如图：

工具推荐

https://github.com/admintony/svnExploit

修复方案

1、上线前删除该目录

2、在服务器上配置禁止该目录访问，常见配置如下：

1. Apache:
   
2. 
   
3.     <Directory ~ "\.svn">
   
4.     Order allow,deny
   
5.     Deny from all
   
6.     </Directory>

复制代码

git

在运行 git init 初始化代码库的时候，会在当前目录下面产生一个 .git 的隐藏目录，用来记录代码的变更记录等等。在发布代码的时候，而 .git 这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码。

攻击者利用该漏洞下载 .git 文件夹中的所有内容。如果文件夹中存在敏感信息(数据库账号密码、源码等)，通过白盒的审计等方式就可能直接获得控制服务器的权限和机会！

漏洞发现

1、可以先观察一下站点是否有醒目地指出 Git，如果有的话，那就说明站点很大可能是存在这个问题的

2、如果站点没有醒目的提示的话，可以利用 dirsearch 这类扫描工具，如果存在 ./git 泄露的问题的话，会被扫描出来的

3、最直观的方式，就是直接通过网页访问 .git 目录，如果能访问就说明存在

当确认存在这个漏洞之后，就可以通过工具来下载 git 泄露的全部源码

工具推荐

https://github.com/0xHJK/dumpall

.DS_Store

.DS_Store 是 Mac 下 Finder 用来保存如何展示 文件/文件夹 的数据文件，每个文件夹下对应一个。和 windows 相比，等同于 desktop.ini 和 Thumbs.db 两个文件。

如果开发/设计人员将 .DS_Store 上传部署到线上环境，可能造成文件目录结构泄漏，特别是备份文件、源代码文件。

比如我本地系统：

尝试用工具解析：

能看到我本地目录下的一些目录信息。

工具推荐

https://github.com/gehaxelt/Python-dsstore

https://github.com/lijiejie/ds_store_exp

总结

今天分享的这部分内容，最终危害取取决于泄漏的文件，比如可以远程连接的数据库账号密码和地址，那么就存在直接的危害，导致数据库被接管，如果泄漏的是网站源码，则可能存在漏洞被通过代码审计的方式审计出来，如果都是些静态资源，那么危害几乎可以忽略，所以学需要具体问题具体对待。