Everything漏洞描述
[Everything]一款搜索文件非常快的工具,其速度之快令人震驚!它還有一個可以通過HTTP 或 FTP 分享搜索結果 的功能。它可以讓用戶在本地或局域網上的其他電腦使用瀏覽器進行搜索,並支持文件下載。重點來了,如果是公網IP的用戶,又開啟了HTTP訪問,會讓谷歌收錄你索引的文件,也就是你硬盤里的文件全部公開在網上了。
漏洞復現
利用google hack在google上搜索
allintitle:Everything C:\Windows
很誇張,檢索到的龐大的信息量。雖然大部分都是響應超時,但是還是有漏網之魚。
基本可以點入,但是很多響應超時。選取幾個成功的例子展示
(無意間翻到了韓國友人的漫畫收藏地)
最恐怖的是還能通過查詢功能直接通過Everything的語法來檢索文件
開啟了http服務還不設置賬戶密碼的話,還是公網,就會暴露文件到公網。如果不小心開啟了ftp服務,會造成任意文件下載泄露的嚴重后果。
想想看,你自己硬盤上的所有東西,全部公布在公網,不管是什么隱私,都會被看到,非常的危險。
如果需要開啟http,ftp服務,記得在Everything http服務中設置用戶名和密碼