DS_store文件泄露漏洞全流程演示(在kali系统中报错时搭建虚拟环境演示以及其他方法)
注:DS_store通常在macOS系统下自动生成,演示过程在kali系统下完成对靶机的测试,自行操作须在靶机环境下进行,请勿用于非法用途!
漏洞原理:DS_store文件的作用是存储文件夹的自定义属性,如图标位置、背景色等。当攻击者访问到暴露在web目录下的该文件时,就可能导致信息泄露
主要危害:1.目录结构泄露:通过python-dsstore等工具解析,可还原服务器目录树,帮助攻击者绘制攻击地图
2.敏感文件泄露:可能记录上一级目录的路径,或暴露未链接的备份、后台文件。
如何检测与利用:假设目标网站为https://example.com/
直接访问:尝试访问https://example.com/.DS_Store或https://example.com/images/.DS_Store。若能下载,即存在漏洞。
利用ds_store_exp.py工具对目标进行拉取(工具参考结尾部分)
首先打开kali系统 cd /tmp/ (这里进入到tmp目录下演示)
删除目录中所有临时文件:
rm -rf /tmp/*创建一个新的文件夹(下文演示中文件名为ds)
mkdir 文件名因展示在虚拟机环境中,所以将工具拉入虚拟机中,可能出现以下无法拉入的情况如下:
这是因为系统中没有安装lrzsz工具包(rz/sz是该工具包中的文件上传/下载命令)
1.安装lrzsz工具包
yum install -y lrzsz如果是Debian/Ubuntu系统 用:
apt update && apt install -y lrzsz2.安装完成后,即可使用rz上传文件
rz -E由于我们所用到的工具需要一定的依赖,所以在kali系统中我们需要安装他:
pip install ds_store requests我们可能会遇到以下提示,这是因为kali Linux对系统python环境做了保护,禁止直接用pip安装全局包,避免破坏系统依赖
推荐三种解决方法:
一.使用虚拟环境(最安全)
1.安装虚拟环境工具
sudo apt update && sudo apt install -y python3-venv2.创建并激活虚拟环境
#创建虚拟环境(名字可自定义,比如venv) python3 -m venv venv #激活虚拟环境 source venv/bin/activate3.在虚拟环境中安装包
pip install ds_store requests4.使用完后退出虚拟环境
deactivate二.使用pipx(适合安装独立python应用)
1.安装pipx
sudo apt update && sudo apt install -y pipx2.用pipx安装包
pipx install ds_store三.强制绕过(不推荐,可能破坏系统)
pip3 install ds_store requests --break-system-packages安装好依赖以后,我们需要在虚拟状态下完成对工具的运用,例如:
python ds_store_exp.py http://example.com/.DS_Storecd /tmp/ 进入到tmp或者tmp/ds下,我们会看到对应文件已经下载,这就是DS_Store信息泄露漏洞