Web应用程序的敏感信息-隐藏目录和文件

Web应用程序的敏感信息-隐藏目录和文件

0x1、场景

Web应用程序根文件夹中可能存在大量隐藏信息：源代码版本系统文件夹和文件（.git，.gitignore，.svn），项目配置文件（.npmrc，package.json，.htaccess），自定义配置文件使用config.json，config.yml，config.xml等常见扩展以及许多其他扩展。

资源可以分为几个常见类别：

• 源代码版本控制系统
• IDE（集成开发环境）配置文件
• 项目和/或技术特定的配置和设置文件

1.1、GIT

Git是“（...）一个免费的开源分布式版本控制系统，新创建的Git存储库包含一些默认文件夹和文件，其中存储了所有信息。新创建的Git存储库包含一些默认文件夹和文件，其中存储了所有信息。

.git文件夹的基本结构

对象可以是以下三种类型之一：commit，tree和blob。

Commit是有关提交的信息，具有当前树（文件夹和文件结构）对象哈希。

tree包含有关文件夹和文件结构的信息 - 每个文件夹或文件都有自己的对象哈希存储在树对象中。

Blob是Git对象类型，保存文件内容。知道特定文件的对象哈希，则可以使用 git cat-file命令读取此文件的内容。

1.2、Subversion (SVN)

Subversion（或SVN）是由Apache Software Foundation创建的源代码版本控制系统，SVN文件夹和文件的示例结构如下所示：

.svn文件夹的基本结构

关键性的信息是SQLite数据库wc.db文件和pristine /目录的内容。在wc.db中存有pristine/*里相关文件名的哈希值。

http://server/path_to_vulnerable_site/.svn/wc.db

使用SQLite控制台客户端（或任何其他工具来管理SQLite数据库）,阅读wc.db的内容

$ sqlite3 wc.db
SQLite版本3.8.10.2 2015-05-20 18:17:19
输入“.help”作为使用提示。
sqlite> .databases
seq名称文件
--- --------------- ------------------------- ---------------------------------
0 main /Users/bl4de/hacking/playground/wc.db
sqlite>。 dump
PRAGMA foreign_keys = OFF;
开始交易;
CREATE TABLE REPOSITORY（id INTEGER PRIMARY KEY AUTOINCREMENT，root TEXT UNIQUE NOT NULL，uuid TEXT NOT NULL）;
插入“存储”值（1，'svn + ssh：//192.168.1.4/var/svn-repos/project_wombat','88dcec91-39c3-4b86-8627-702dd82cfa09'）; 

（......）

INSERT INTO“NODES”VALUES（1，'trunk'，0，''，1，'trunk'，1，'normal'，NULL，NULL，'dir'，X'2829'，'infinity'，NULL，NULL ，1,1456055578790922， 'bl4de'，NULL，NULL，NULL，NULL）;
INSERT INTO“NODES”VALUES（1，''，0，NULL，1，''，1，'normal'，NULL，NULL，'dir'，X'2829'，'infinity'，NULL，NULL，1， 1456055578790922 'bl4de'，NULL，NULL，NULL，NULL）;
INSERT INTO“NODES”VALUES（1，'trunk / test.txt'，0，'trunk'，1，'trunk / test.txt'，2，'normal'，NULL，NULL，'file'，X'2829 ”，NULL， '$ SHA1 $ 945a60e68acc693fcb74abadb588aac1a9135f62'，NULL，2,1456056344886288， 'bl4de'，38,1456056261000000，NULL，NULL）;
插入“NODES”值（1，'trunk / test2.txt'，0，' 躯干”，1 '躯干/的test2.txt'，3， '正常'，NULL，NULL， '文件'，NULL，NULL， '$ $ SHA1 6f3fb98418f14f293f7ad55e2cc468ba692b23ce'，NULL，3,1456056740296578， 'bl4de'，27， 14560566.96亿，NULL，NULL）; 

（......）

每一个都包含文件名和SHA1哈希，对应于pristine /文件夹中的条目：

$ ls -lA pristine / 94 /
total 8
-rw-r  -  r  -  @ 1 bl4de staff 38 Feb 21 12:05 945a60e68acc693fcb74abadb588aac1a9135f62.svn-base

REPOSITORIES表中的条目指向原始存储库路径，即：

svn+ssh://192.168.1.4/var/svn-repos/project_wombat

1.3、IDE项目文件

许多开发人员使用的IDE（集成开发环境）有一个共同点 - 它们将项目的设置和许多附加信息保存在自己的文件中，分别为每个项目创建。

JetBrains的产品（https://www.jetbrains.com/）。

JetBrains IDE - IntelliJ IDEA，WebStorm，PHPStorm，RubyMine

使用JetBrains产品开发的每个项目都会创建自己的隐藏目录 .idea /。此目录包含有关当前项目，其文件，目录和IDE设置的所有信息。

.idea JetBrains文件夹的基本结构

workspace.xml包含许多有用的信息，它们允许枚举应用程序的所有文件和文件夹，源版本控制系统信息和许多其他信息。

<？xml version =“1.0”encoding =“UTF-8”？>
	（...）
	<component name =“FileEditorManager”>
	    <leaf>
	      <file leaf-file-name =“README.md”pinned =“false “current-in-tab =”false“>
	        <entry file =”file：//$PROJECT_DIR$/README.md“>
				（...）
	</ component>
（...）

组件名称中的所有节点=“FileEditorManager”包含所有文件及项目根目录的相对路径。

每个组件节点有版本系统的信息，如下例所示：

<component name =“Git.Settings”>
    <option name =“UPDATE_TYPE”value =“MERGE”/>
    <option name =“RECENT_GIT_ROOT_PATH”value =“$ PROJECT_DIR $”/>
  </ component>

关于项目文件上执行的提交和其他任务的信息，在节点组件名称=“TaskManager”中：

（...）
    <task id =“LOCAL-00211”summary =“将WebSocket端口更改为1099”>
      <created> 1436206418000 </ created>
      <option name =“number”value =“00211”/>
      <option name = “project”value =“LOCAL”/>
      <updated> 1436206418000 </ updated>
    </ task>
（...）

更改历史记录，存储在组件名称=“ChangeListManager”节点中：

<component name =“ChangeListManager”>
		（...）
		<change type =“DELETED”beforePath =“$ PROJECT_DIR $ / chat / node_modules / socket.io / node_modules / socket.io-adapter / node_modules / debug / Makefile”afterPath = “”/>
		（...）
	</组分>

以及组件名称=“editorHistoryManager”节点：

（...）
    <entry file =“file：//$PROJECT_DIR$/public_html/vendor/angular/angular.js”>
      <provider selected =“true”editor-type-id =“text-editor”>
        <state vertical-scroll-proportion =“0.0”>
          <caret line =“3233”column =“29”selection-start-line =“3233”selection-start-column =“29”selection-end-line =“3233”selection -end-column =“29”/>
        </ state>
      </ provider>
    </ entry>
（...）

如果开发人员曾经使用集成数据库管理器管理数据库，那么还有另一个非常有趣的文件：dataSources.ids，可以在其中找到数据库结构，dataSource.xml，dataSources.xml，dataSources.local.xml和dbnavigator.xml包含示例信息：

<database>
          <name value =“database_name”/>
          <description value =“”/>
          <database-type value =“MYSQL”/>
          <config-type value =“BASIC”/>
          <database-version value =“5.7 “/>
          <driver-source value =”BUILTIN“/>
          <driver-library value =”“/>
          <driver value =”“/>
          <host value =”localhost“/>
          <port value =”3306“/>
          <database value =“mywebapp”/>
          <url-type value =“DATABASE”/>
          <os-authentication value =“false“/>
          <empty-password value =”false“/>
          <user value =”root“/>
          <password value =“cm9vdA ==”/> <！ -  Base64 encoded  - >
        </ database>

甚至更多，比如dataSources.local.xml：

<？xml version =“1.0”encoding =“UTF-8”？>
<project version =“4”>
  <component name =“dataSourceStorageLocal”>
    <data-source name =“MySQL  -  mywebapp @ localhost”uuid =“8681098b -fc96-4258-8b4f-bfbd00012e2b“>
      <secret-storage> master_key </ secret-storage>
      <用户名> root </ user-name>
      <schema-pattern> mywebapp。* </ schema-pattern>
      <default -schemas> mywebapp。* </ default-schemas>
    </ data-source>
  </ component>
</ project>

一切都取决于项目本身，使用IDE插件（如调试器，源版本控制或数据库管理器）。

NetBeans IDE

NetBeans（https://netbeans.org/）是另一个非常流行的免费IDE，适用于Java，C / C ++，PHP，HTML5和JavaScript开发。

NetBeans在项目的根文件夹中创建自己的文件夹，包含所有项目设置 -  nbproject /（类似于 .idea文件夹创建dby JetBrains IDE）

project.xml是NetBeans项目配置的一个文件，可以从这个文件入手查看敏感点。

.nbproject文件夹的基本结构

1.4、其他配置文件

NodeJS / JavaScript特定的配置文件

示例是npm配置文件（package.json，package-lock.json），其中包含所有应用程序依赖项; 用于JavaScript的linters配置文件，如ESlint或JShint或Bower包管理器bower.json等等。

示例bower.json文件，其中包含Bower的配置，并包含Web应用程序（前端端）中使用的包列表：

{
  “name”：“testapp”，
  “version”：“2.1.0”，
  “authors”：[
    “Rafal'bl4de'Janicki <email@gmail.com>”
  ]，
  “description”：“test application”，
  “ main“：”index.html“，
  ”moduleType“：[
    ”globals“
  ]，
  ”license“：”MIT“，
  ”dependencies“：{
    ”angular“：”1.4“，
    ”pure“：”~0.5.0“ ，
    “angular-route”：“~1.2.26”，
    “angular-ui-router”：“~0.2.11”，
    “angular-bootstrap-datetimepicker”：“最新”，
    “angular-translate”：“~2.6.1”
  }，
  “devDependencies”：{}
}

由于是服务器端详细信息的列表 - 使用的包，如数据库连接器，中间件组件等 - 此文件可能包含许多有关潜在易受攻击软件的信息。

示例package.json，显示可能使用了MySQL数据库，并通过WebSockets进行了一些客户端 - 服务器通信：

{
  “name”：“Test application server dependencies”，
  “version”：“1.0.0”，
  “author”：“bl4de”，
  “dependencies”：{
    “socket.io”：“^ 1.3.5”，
    “mysql “：”^ 2.9.0“
  }
}

.bowerrc， .eslintrc， .jshintrc等文件 。即使它们不包含非常敏感的信息，也有可能找到有关Web应用程序体系结构，使用的库和/或框架的一些详细信息，甚至是评论中的一些有价值的信息。

GitLab CI / CD .gitlab-ci.yml配置文件

当项目使用GitLab连续集成（GitLab CI / CD）时，项目根文件夹中存在一个非常特殊的脆弱文件： .gitlab-ci.yml。此文件可能包含大量非常敏感的信息：有关测试和构建过程的详细信息，详细命令在此类过程的每个步骤和许多其他关键信息上运行。

可以在此处找到.gitlab-ci.yml文件的示例

Ruby on Rails database.yml文件

主数据库配置文件，包含连接到数据库所需的一切：用户名，密码和其他配置详细信息。

macOS .DS_Store文件

关于macOS系统的一个特殊之处是一个名为的文件。.DS_Store。此文件由macOS文件资源管理器应用程序Finder创建，并且经常被错误地提交到源版本控制存储库中。

使.DS_Store文件非常有用的原因在于它们保存有关Finder窗口配置的信息，包括代表在特定Finder窗口中显示的文件和文件夹的图标布局。

如果在Web服务器上找到.DS_Store文件，则有可能找到很多敏感信息资源。

.DS_Store文件的基本结构

.DS_Store文件。我们可以识别config，LICENSE，loader或package.json文件，还有node_modules /，pages /，utils /和wrappers / folders - NodeJS应用程序的典型结构

.DS_Store文件的主要问题是Apple特定的格式并且不易读取，这种格式的最佳资源之一（以及用于解析的Python库）是由Sebastian Neef解析.DS_Store文件格式。

0x2、工具

枚举工具（DirBuster，Dirb、wfuzz，仅举几例），字典包含数十万个最受欢迎的文件夹和文件名，robots.txt常用条目等。

字典资源：

https://github.com/danielmiessler/SecLists

https://github.com/danielmiessler/RobotsDisallowed

0x3、参考

https://medium.com/@_bl4de/hidden-directories-and-files-as-a-source-of-sensitive-information-about-web-application-84e5c534e5ad