Exploiting framework configuration files – Part 2

Example: Zend I inurl:/application/configs/ intitle:index of inurl:/application/controllers/ intitle:index of filetype:ini “Bootstrap.php” (pass|passwd|password|pwd) Zend II inurl:/data/cache/ intitle:index of inurl:/module/application/ intitle:index of Laravel filetype:env intext:mail_host /  “MAIL_PASSWORD” filetype:env de cima procurando por email filetype:env intext:REDIS_PASSWORD por configuração de redis filetype:env intext:”APP_ENV” inurl:readme.md intext:”Laravel” -vendor -github -gitlab -bitbucket -git -node_modules Troca o readme.md …

Algumas dorks bem interessantes. Falhas que você não pode cometer.

Fazendo algumas pesquisas me deparei com um número enormes de falhas de autenticação ou por falhas técnicas ao deixar arquivos de configurações expostos, muita das vezes são sistemas de ambiente locais sem perigo, mas outras não, deixo aqui alguma delas. Sistemas  sem autenticação correta inurl:”/(adm|admin|cms)/(usuarios|usuario|noticias|noticia).(asp|aspx|php)” -github.com -code.google -googlecode -filemare.com Arquivos …

Back to Top