Everything漏洞

admin 9月前 341

[Everything]一款搜索文件非常快的工具,其速度之快令人震惊!它还有一个可以通过HTTP 或 FTP 分享搜索结果 的功能。它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载。重点来了,如果是公网IP的用户,又开启了HTTP访问,会让谷歌收录你索引的文件,也就是你硬盘里的文件全部公开在网上了。

漏洞位置:

/yyoa/oaSearch/search_result.jsp

漏洞详情:

启用http服务器(公网IP)会导致共享文件被搜索引擎搜索

启用http服务器功能点:让用户在本地或局域网上的其他电脑使用浏览器进行搜索,并支持文件下载。若拥有公网IP的用户启用此功能,就是“全网分享”。

Google,者撒旦,fofa搜索关键词:

索引 C:\Windows - Everything

Everything 索引 C:\Users

allintitle: Everything C:\Windows

很夸张,谷歌检索到的庞大的信息量。虽然大部分都是响应超时,但是还是有漏网之鱼。

撒旦跟fofa搜索的效果更好数据是最新的。


 基本可以点入,但是很多响应超时。选取几个成功的例子展示



最恐怖的是还能通过查询功能直接通过Everything的语法来检索文件


开启了http服务还不设置账户密码的话,还是公网,就会暴露文件到公网。如果不小心开启了ftp服务,会造成任意文件下载泄露的严重后果。

想想看,你自己硬盘上的所有东西,全部公布在公网,不管是什么隐私,都会被看到,非常的危险。

如果需要开启http,ftp服务,记得在Everything http服务中设置用户名和密码


最新回复 (0)
返回
发新帖