CTF——Web网站备份源码泄露

这篇具有很好参考价值的文章主要介绍了CTF——Web网站备份源码泄露。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

CTF——Web网站备份源码泄露


当遇到提示说到备份时,应该敏感地想到这是需要用到网站备份文件源码的。

一般这类题是和代码审计一起出的,一般都是需要获取到备份文件然后进行分析。下面就介绍一下网站备份的知识。以及推荐几款扫描网站备份文件的软件。下方还提供了一个很详细的网站备份字典哦!

如果喜欢这篇文件的话 记得关注 点赞 收藏哦 谢谢你的观看


备份文件泄露的成因


网站备份文件的泄露一般是由于网站管理员将网站备份文件或是敏感信息文件存放在某个网站目录下,然后这个目录按照网站的默认设置是可以公开访问的。那么黑客就可通过暴力破解目录的方法获取该备份文件,导致网站敏感信息泄露。

备份文件一般的存储位置


网站备份的一般操作,一般网站的备份都会依赖于一些第三方的软件。这些软件会把网站的几乎所有内容都打包成压缩包,然后放到网站的某个目录中,并在之后给出这个备份文件的目录供网站管理员下载到本地或另外一台备份电脑中。基本上生成的文件任何人都可以下载的。如果在备份完成后管理员没有及时处理这个公开的文件的话,那么就会构成泄露风险。

于是根据上面的网站备份流程,获取泄露文件的方法一般就是先寻找备份目录以及备份文件名然后下载。

备份文件常见的后缀名

备份文件基本上都是压缩包

  • .rar
  • .zip
  • .7z
  • .tar.gz
  • .bak
    对于bak类的备份文件,可以直接输入文件名称+.bak访问例如:
    index.php.bak
  • .txt
  • .old
  • .temp
  • _index.html
  • .swp
  • .sql
  • .tgz
  • tar

备份文件常见的文件名

文件名不包含后缀

  • web
  • website
  • backup
  • back
  • www
  • wwwroot
  • temp
  • db
  • data
  • code
  • test
  • admin
  • user
  • sql

常见的备份文件所在目录

/     #根目录首先
/admin 
/data
/default
/index
/login
/manage
/cmseditor
/db
/bbs
/phpadmin

利用工具探测网站备份文件


探测备份文件的软件有很多,但是基本上都是一样的。各取所好吧。

ihoneyBakFileScan

这款软件可以批量扫描多个网站

#使用方法
python3.5 ihoneyBakFileScan.py -u https://www.example.com/
#上面的为扫描单个网址

python3.5 ihoneyBakFileScan -t 100 -f url.txt
#上面为批量扫描 url.txt放链接

扫描后会生成结果文件夹

github链接

若无法进入github 可

链接:https://pan.baidu.com/s/15DakcgNzstIKNnT7U1scuA
提取码:6666

这里下载

是百度网盘链接,看仔细!复制链接打开新页面,不要直接点击

简单的自写python脚本

import requests

url1 = 'http://www.abc.net'  # url为被扫描地址,后不加‘/’

# 常见的网站源码备份文件名  同目录下创建List.txt 如web,website,backup,back,www,wwwroot,temp等
with open('List1.txt', 'r') as f:
    list1 = f.read().splitlines()
    
# 常见的网站源码备份文件后缀
list2 = ['tar', 'tar.gz', 'zip', 'rar', '7-zip', '7z']
for i in list1:
    for j in list2:
        back = str(i) + '.' + str(j)
        url = str(url1) + '/' + back
        print(back + '    ', end='')
        print(requests.get(url).status_code)

        #结果返回的是状态码,如果状态码为200则存在

脚本参考

常规的网站目录收集软件

  • 御剑
  • DirBuster
  • Webdirscan
  • Cansina
  • Dirsearch
  • awvs
  • wwwscan

以上软件的下载方式可见我的另外一篇博文

https://blog.csdn.net/weixin_51735061/article/details/124236800

源码审计软件推荐

简单阅读的软件

  • phpstorm 用于审计php
  • IntelliJ IDEA 用于审计java
  • PyCharm 用于审计python 基本上后端就这三种最热门

专业的审计软件

  • RIPS开源 (PHP代码审计)
  • findbugs (Java代码审计)
  • findsecuritybugs (Java代码审计)
  • cppcheck (C++代码审计)
  • flawfinder (C++代码审计)
  • gas(Go代码审计)
  • bandit (Python代码审计)
  • sonar (多语言)

参考文章来源地址https://www.toymoban.com/news/detail-470777.html

到了这里,关于CTF——Web网站备份源码泄露的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 013-信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

    0、Web架构资产-平台指纹识别 1、开源-CMS指纹识别源码获取方式 2、闭源-习惯配置特性等获取方式 3、闭源-托管资产平台资源搜索监控 演示案例: ➢后端-开源-指纹识别-源码下载 ➢后端-闭源-配置不当-源码泄漏 ➢后端-方向-资源码云-源码泄漏 标签 名称 地址 指纹识别 在线

    2024年01月21日
    浏览(48)
  • Java web的旅游网站(源码+文档)

    源码编号:B-E57点击查看(分类规则) 项目类型:Java web项目/Java EE项目(非开源) 项目名称:基于java web的旅游网站 [travel] 当前版本:V1.0.0版本 用户类型:双角色(普通用户、管理员) 项目架构:B/S架构 设计思想:整体没有采用MVC的设计思想,也就是没有用service、dao、

    2024年02月03日
    浏览(46)
  • 第13天:信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

    标签 名称 地址 指纹识别 在线 cms 指纹识别 http://whatweb.bugscaner.com/look/ 指纹识别 Wappalyzer https://github.com/AliasIO/wappalyzer 指纹识别 TideFinger 潮汐 http://finger.tidesec.net/ 指纹识别 云悉指纹 https://www.yunsee.cn/ 指纹识别 WhatWeb https://github.com/urbanadventurer/WhatWeb 指纹识别 数字观星 Finger-P

    2024年04月14日
    浏览(43)
  • Day12:信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份

    目录 开源-CMS指纹识别源码获取方式 闭源-习惯配置特性等获取方式 闭源-托管资产平台资源搜索监控 思维导图 章节点 Web:语言 / CMS / 中间件 / 数据库 / 系统 / WAF 等 系统:操作系统 / 端口服务 / 网络环境 / 防火墙等 应用: APP 对象 / API 接口 / 微信小程序 / PC 应用等 架构:

    2024年03月27日
    浏览(52)
  • 基于Web的旅游推荐网站设计与实现(论文+源码)_kaic

    【摘 要】 当前,众所周知的旅游产业已慢慢成为全世界经济领域中最具代表影响力和最大领域的产业之一,互联网的蓬勃发展也为旅游业带来了新的机遇。并且旅游网站已经逐渐成为管理旅游信息的主要模式。因此,开发一个稳定性良好、可用性强的旅游系统是非常重要的

    2024年02月11日
    浏览(54)
  • 7、信息打点——资产泄露&CMS识别&Git监控&SVN&DS_Store&备份

    知识点: CMS指纹识别、源码获取方式 习惯配置特征等获取方式 托管资产平台资源搜索监控 直接识别CMS,根据CMS获取网站源码。CMS直接识别工具: 云悉指纹识别平台 。 识别不了CMS,则通过以下方式获取源码: 在网站根目录内(./www/)备份文件,可以访问到;在网站根目录(

    2024年02月01日
    浏览(55)
  • 记录--如何防止网站信息泄露(复制/水印/控制台)

    中午休息的时候,闲逛公司内网,看到一个url,就想复制一下url,看看url对应的内容是啥,习惯性使用ctrl+c,然后ctrl+v,最后得到是 禁止复制 ,哦,原来是禁用了复制。这能难倒一个前端开发吗?当然不能。于是打开了控制台,这时,发现页面自动执行了一段立即执行函数

    2024年02月03日
    浏览(65)
  • django+Web+区块链的大宗商品交易B2B服务平台网站(源码+mysql+论文)

    本系统(程序 + 源码)带文档 lw 万字以上   文末可获取本课题的源码和程序 选题背景: 随着科技的不断发展,区块链技术已经成为近年来的热门话题。区块链是一种去中心化、分布式的数据库技术,通过加密算法确保数据的安全性和不可篡改性。大宗商品交易B2B服务平台是

    2024年04月11日
    浏览(51)
  • 【web-ctf】ctf_BUUCTF_web(2)

    1. [RCTF2015]EasySQL 考点: 二次注入 报错注入 正则表达式查找 reverse函数 学到的知识点: 二次注入原理 二次注入的标志: (1)可以自行注册用户 (这是为了注册一些特殊的用户名到数据库中(比如会导致之后报错、修改其他用户的密码等)) (2)可以使用修改密码等 (二

    2024年02月06日
    浏览(44)
  • CTFHub-Web-信息泄露-Git泄露

    目录 一、Log 1、题目介绍 2、知识储备 3、解题步骤 (1)、查看页面 (2)、dirsearch扫描目录 (3)、Githack扫描  (4)、git log历史查询 (5)、获取flag 二、Stash 1、知识储备: 2、githack扫描 3、获取flag  三、Index 1、知识储备 2、dirsearch扫描 3、获取flag  四、个人感悟 (1)、

    2024年02月12日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包