网安实验系列六:.svn源代码泄露
1. 核心成因:部署方式的“偷懒”
在软件开发中,SVN(Subversion)是用来管理代码版本的工具。
- 正常开发时:开发者使用
svn checkout命令从服务器下载代码。这时,SVN 会在每个目录下生成一个隐藏的.svn文件夹,用来记录版本信息(比如你修改了什么、谁修改的、上一个版本是什么)。 - 漏洞产生时:当代码开发完成,需要发布到网站服务器(生产环境)时,规范的做法是使用
svn export(导出)。这个命令会把代码提取出来,不包含.svn文件夹。 - 错误操作:很多管理员为了图省事,直接把开发环境里的代码文件夹复制(或者用
svn checkout)到了 Web 服务器上。这就导致包含敏感信息的.svn文件夹也被带上了生产环境,并且通常对公网是可见的。
2. .svn 文件夹里到底有什么?
.svn就像是代码的“黑匣子”,它记录了项目的所有历史。根据 SVN 版本的不同(1.6及以前 vs 1.7及以后),存储结构略有不同,但核心文件主要包含以下两类信息:
- 目录结构图(地图):
- 低版本 (SVN 1.6-):依靠
/.svn/entries文件。这是一个文本文件,里面明文记录了当前目录下所有文件的名称、版本号等信息。 - 高版本 (SVN 1.7+):依靠
/.svn/wc.db文件。这是一个 SQLite 数据库,里面存储了整个项目的文件路径、目录结构等元数据。
- 低版本 (SVN 1.6-):依靠
- 源代码副本(宝藏):
- SVN 为了能对比你修改了什么,必须在本地存一份“上一版本的纯净代码”。
- 这些代码通常以
.svn-base的格式存储在text-base/或pristine/目录中。 - 关键点:即使你把网站上的
index.php删了,只要.svn文件夹还在,攻击者依然可以从这里面把index.php的源码找回来。
3. 攻击原理:从“地图”到“宝藏”
攻击者利用这个漏洞通常遵循以下逻辑,这也是你实验中工具(如 SvnExploit)背后的工作原理:
探测(发现入口):
攻击者访问http://target.com/.svn/entries或http://target.com/.svn/wc.db。如果服务器返回了内容而不是 403/404 错误,说明漏洞存在。解析(获取地图):
- 工具会下载
entries文件或wc.db数据库。 - 通过解析这些文件,工具就能知道:“哦,这个网站根目录下有
config.php、admin文件夹,admin下面还有user.php……”从而构建出完整的目录树。
- 工具会下载
还原(下载宝藏):
- 根据解析出的文件列表,工具会利用 SVN 的存储规则,构造 URL 去下载对应的
.svn-base文件。 - 例如,工具知道有个文件叫
config.php,它就会去请求/.svn/pristine/xx/xxxx.svn-base(高版本)或/.svn/text-base/config.php.svn-base(低版本)。 - 下载回来后,工具会自动把文件名改回原名(去掉
.svn-base后缀),最终在攻击者的电脑上完整还原出整个网站的源代码。
- 根据解析出的文件列表,工具会利用 SVN 的存储规则,构造 URL 去下载对应的
4. 危害与防御
危害:
这不仅仅是泄露几行代码的问题。源码中往往包含:
- 数据库账号密码(通常在配置文件如
database.php或web.config中)。 - API 密钥或加密盐值。
- 未公开的接口逻辑,攻击者可以据此挖掘更深层的逻辑漏洞。
如何防御:
- 规范部署:发布代码时,务必使用
svn export命令,而不是直接复制。 - 服务器配置:在 Nginx 或 Apache 配置中,禁止访问以点开头的隐藏目录(如
location ~ /\.svn { deny all; })。 - 清理:如果已经部署了,可以使用脚本(如
find . -name ".svn" | xargs rm -rf)批量删除服务器上的.svn文件夹。
1.测试目标主机是否存在.svn源代码泄露
(1)登录拓扑图左侧的攻击端主机,用户名/密码:root/com.1234。单击桌面左上角图标
(2)在搜索框中输入fire,再单击菜单栏中第一个Firefox ESR选项,打开火狐浏览器,如图3所示。在地址栏中输入192.168.100.202/.svn,确认.svn是否存在。若测试目标站点显示结果如图4所示,说明目标站点存在.svn文件,证明存在svn源代码泄露漏洞。
2.下载svn源代码
(1)关闭火狐浏览器,右击桌面空白处,单击菜单栏中Open Terminal Here选项,打开终端,。图5:打开终端
(2)在终端中执行命令cd/svnExploit-master(可以输入svn后按Tab键补全),切换至svnExploit-master目录,
(3)执行命令python SvnExploit.py -u http://192.168.100.202/.svn --dump,将svn源码下载到本地,
(4)执行命令cd dbs,切换至dbs目录。执行命令ls,查该目录中的所有文件。执行命令ls 192.168.100.202,查看是否成功下载目标主机内的网站站点文件,,已成功下载svn源代码。成功下载源代码