zoukankan      html  css  js  c++  java
  • Everything 配置问题导致信息泄露复现

    0x00 简介

    Everything是一个私有的免费Windows桌面搜索引擎,可以在NTFS卷上快速地根据名称查找文件和目录。

    "Everything" 是 Windows 上一款搜索引擎,它能够基于文件名快速定文件和文件夹位置。

    不像 Windows 内置搜索,"Everything" 默认显示电脑上每个文件和文件夹 (就如其名 "Everything")。

    0x01 漏洞概述

    由于在配置中开启了ETP/FTP服务和HTTP服务,导致可以直接访问服务器上的文件。

    0x02 影响范围

    所有开启ETP/FTP服务和HTTP服务且未设置账号密码的Everything

    0x03 环境搭建

    官网下载最新版本

    https://everything.en.softonic.com/

    双击安装,全部为默认即可

    双击打开Everything,在 工具 -- 选项 -- HTTP服务器处,启动HTTP服务并设置端口(FTP同理)

    0x04 漏洞利用

    浏览器访问开启的HTTP服务

    http://127.0.0.1:8888

    由于默认勾选了允许HTTP文件下载,所以在访问敏感信息的同时也可以任意文件下载

    0x05 修复方式

    开启ETP/FTP服务和HTTP服务时同时设置账号密码,如下图:

     更多最新漏洞复现,欢迎关注我的个人公众号:Timeline Sec

  • 相关阅读:
    win7系统激活最简单方法
    如何删除计算机多系统中不需要了的系统?
    SQL SERVER 中 GO 的用法2
    SQL SERVER 中 GO 的用法
    SQL SERVER中架构的理解
    linux诡异的半连接(SYN_RECV)队列长度
    skbtrace
    IO之流程与buffer 图
    MYSQL 缓存详解 [myownstars] 经典博客
    TCP 函数
  • 原文地址:https://www.cnblogs.com/paperpen/p/11675938.html
Copyright © 2011-2022 走看看