【漏洞学习——Git信息泄露】西北大学合集

漏洞细节

【目录遍历引发的信息泄露】
  http://219.245.18.46/
  存在目录遍历
【DS_Store信息泄露】
219.245.18.46/.DS_Store
219.245.18.46/._.DS_Store
219.245.18.46/%e5%aa%92%e4%bd%93%e4%ba%91%e6%96%87%e6%a1%a3v1.0/Demo/.DS_Store

简单整理：

【git信息泄露】
http://219.245.18.46/yii/
http://219.245.18.46/yii/.git/

在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候，把.git这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码。

【其他数据信息泄露】

【证明是西北大学的】
整个C段全部属于西北大学，同时开发文件看到了西北大学的logo
http://219.245.18.46/xmgl/
学校信息：http://219.245.18.46/%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F/

下载了开发文件：219.245.18.46/xlzxdd.rar
siteconfig.inc.php如下 yjf@nwu.edu.cn 西北大学邮箱

【C段下打印机服务未授权访问】
可查看打印机 甚至可以打印相关文档

【SQL注入】
http://lib.nwu.edu.cn/Read.Asp?NewsID=1839
单引号报错

参见：https://bugs.shuimugan.com/bug/view?bug_no=167033