svn源码泄露的原因和详情可参考:svn源代码泄漏与利用工具。
svn源代码泄露主要有两方面的危害:
1、.svn目录下的entries文件可被用来获取网站目录结构。
2、.svn目录下存在以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录)可被用来获取源代码。注意:源代码文件副本是存在的,但能否泄露源码主要看网站能否解析以.svn-base结尾的文件,如果不能解析的话就可以看到网站的源码了。
其中利用工具可以使用seay开发的Seay-Svn源代码泄露漏洞利用工具。但是也不能完全依靠该工具,今天碰到个站使用该工具时不能够下载源文件,但是通过浏览器就可以下载,看来不能够完全依靠工具。
利用过程如下:
1.获取网站目录结构,可以直接在存在.svn的目录下加/.svn/entries来获取,当然可以使用Seay-Svn源代码泄露漏洞利用工具来获取。当然使用工具更快。
2、获取源代码内容。如获取conf.php文件的内容可以在目录下加上/.svn/text-base/conf.php.svn-base来进行下载。
12
ps:在获取网站目录结构的时候可以利用“Seay-Svn源代码泄露漏洞利用工具”来快速获取,在获取源码内容的时候,就不能片面的依靠该工具了。这个网站的源代码在该工具里不可下载,但是通过手工就可以下载。
转载请注明:jinglingshu的博客 » svn源代码泄漏利用实例