系统敏感安全文件路径

概述 (Overview)

在进行本地文件包含 (LFI) 漏洞利用时，了解目标服务器上可能存在的敏感文件的默认路径至关重要。读取这些文件可以帮助攻击者获取系统信息、用户凭证、配置文件、源代码等关键数据。以下是一些在 Windows 和 Linux 系统上常见的敏感文件及其默认路径。

Windows

• C:\boot.ini
  • 系统启动配置，可获取系统版本信息 (较老系统)。
• C:\Windows\System32\inetsrv\MetaBase.xml
  • IIS 配置文件 (IIS 6 及以下版本)，包含站点配置、虚拟目录等。
• C:\Windows\repair\sam
  • 存储系统初始安装时的密码哈希备份 (通常需要 SYSTEM 权限才能访问文件本身，但有时可通过 LFI 读取)。
• C:\Program Files\MySQL\my.ini 或 C:\ProgramData\MySQL\MySQL Server X.Y\my.ini
  • MySQL 数据库配置文件，可能包含端口、数据目录等信息。
• C:\Program Files\MySQL\Data\<database_name>\<table_name>.MYD
  • MySQL 表数据文件 (MyISAM 引擎)。例如 mysql\user.MYD 可能包含用户账户和密码哈希。
• C:\Windows\php.ini
  • PHP 配置文件，包含 PHP 设置、启用的扩展、可能存在的敏感配置等。
• C:\Windows\my.ini
  • MySQL 配置文件 (备用或较老的位置)。
• C:\Windows\win.ini
  • Windows 系统早期版本的配置文件，可能包含一些环境或应用程序信息。
• C:\Users\<username>\NTUSER.DAT
  • 用户注册表配置单元文件。
• C:\Windows\System32\drivers\etc\hosts
  • 本地域名解析文件。

Linux

• /etc/passwd
  • 用户账户信息 (用户名、UID、GID、主目录、Shell)，通常全局可读。
• /etc/shadow
  • 用户密码哈希及策略信息 (通常需要 root 权限才能读取)。
• /etc/group
  • 用户组信息。
• /etc/hosts
  • 本地域名解析文件。
• /etc/motd
  • “Message of the day”，系统登录时显示的消息。
• /etc/issue
  • 系统版本和发行版信息，在登录提示符前显示。
• /etc/resolv.conf
  • DNS 客户端配置文件。
• /etc/fstab
  • 文件系统挂载配置。
• /etc/crontab 或 /var/spool/cron/crontabs/<username>
  • 定时任务配置文件。
• /etc/sudoers
  • sudo 权限配置文件 (通常需要 root 权限)。
• /etc/my.cnf 或 /etc/mysql/my.cnf
  • MySQL 配置文件。
• /etc/httpd/conf/httpd.conf 或 /etc/apache2/apache2.conf
  • Apache HTTP Server 主配置文件。
• /etc/nginx/nginx.conf 或 /usr/local/nginx/conf/nginx.conf
  • Nginx 主配置文件。
• /var/www/html/ (或 /var/www/, /srv/www/htdocs/等)
  • 默认 Web 服务器根目录，可能包含应用程序源代码。
• /proc/version
  • Linux 内核版本信息。
• /proc/mounts
  • 当前挂载的文件系统信息。
• /proc/net/tcp 或 /proc/net/udp
  • 当前 TCP/UDP 网络连接信息。
• /proc/sched_debug
  • 进程调度信息，可能包含进程列表。
• /proc/self/cmdline
  • 当前进程（读取该文件的进程，通常是Web服务器进程）启动的命令行参数。
• /proc/self/environ
  • 当前进程的环境变量。
• /proc/self/cwd
  • 当前进程的工作目录链接。
• /proc/self/fd/<number>
  • 指向进程打开的文件描述符的链接。
• /root/.bash_history 或 /home/<username>/.bash_history
  • 用户执行的 Bash 命令历史记录。
• /root/.mysql_history 或 /home/<username>/.mysql_history
  • 用户执行的 MySQL 客户端命令历史记录。
• /root/.ssh/authorized_keys 或 /home/<username>/.ssh/authorized_keys
  • SSH 授权公钥，允许无密码登录。
• /root/.ssh/id_rsa 或 /home/<username>/.ssh/id_rsa
  • SSH 私钥 (非常敏感!)。
• /root/.ssh/known_hosts 或 /home/<username>/.ssh/known_hosts
  • SSH 已知主机公钥列表。
• /var/lib/mlocate/mlocate.db 或 /var/lib/locatedb/locatedb
  • locate 命令使用的文件索引数据库，包含大量文件路径信息。
• /proc/config.gz
  • 当前运行内核的编译配置 (如果存在且可读)。

常见日志文件默认路径 (Common Log File Default Paths)

日志文件对于 LFI 尤其重要，不仅可以读取信息，还可能通过日志投毒 (Log Poisoning) 来执行代码。

• Apache (Linux - Debian/Ubuntu):
  • /var/log/apache2/access.log
  • /var/log/apache2/error.log
• Apache (Linux - CentOS/RHEL):
  • /var/log/httpd/access_log
  • /var/log/httpd/error_log
• Apache (Older/Custom Linux):
  • /etc/httpd/logs/access_log
  • /var/log/access_log
• Apache (Windows - e.g., XAMPP):
  • C:\path\to\xampp\apache\logs\access.log
  • C:\path\to\xampp\apache\logs\error.log
• IIS (6.0 and older):
  • C:\Windows\System32\LogFiles\ (目录下按服务分子目录)
• IIS (7.0 and newer):
  • C:\inetpub\logs\LogFiles\W3SVC<SiteID>\ (例如 W3SVC1 是默认站点)
• Nginx:
  • /var/log/nginx/access.log
  • /var/log/nginx/error.log
  • /usr/local/nginx/logs/access.log (如果从源码编译安装)

注意: 以上路径均为常见默认值，实际部署中可能会被修改。需要根据具体情况进行尝试和探测。读取敏感文件通常需要相应的权限。