文件泄露浏览器

我在PaulDotCom博客上阅读了Tim Tomes（LaNMaSteR53）的文章《DirBuster -> Burp, the Missing Link》。该文章讨论了通过Burp运行DirBuster，将DirBuster发现的任何内容填充到Burp中。最近在一次Web应用测试中发现了多个.DS_Store文件后，我意识到如果能够解析这些文件并通过Burp传递它们，这将是一种向Burp引入潜在全新文件集的好方法。

我开始寻找解析.DS_Store文件的方法，结果比我想象的要困难。经过一番询问，我终于找到了一个Perl CPAN模块来解析它们。我不是Perl程序员，但通过使用他们的示例文件并从网络上的代码示例中进行大量剪切和粘贴，我成功组装了fdb，即文件泄露浏览器。

我计划扩展此工具以处理其他泄露文件，包括Dreamweaver创建的dwsync.xml文件，以及可能的代码仓库文件，如cvs、svn、git等。

运行此应用需要安装CPAN模块，我通过以下步骤完成：成为root用户，进入CPAN shell，然后要求其进行安装：

1
2

# perl -MCPAN -e shell
cpan[1]> install Mac::Finder::DSStore

如果您以前没有使用过CPAN，可能需要完成基本设置过程，我只是对所有选项使用默认值，效果很好。

该应用需要三个必选参数和一个可选参数。为了未来的兼容性，您必须指定提供的文件类型，目前唯一实现的类型是.DS_Store（ds）。第二个参数是要解析的文件，然后是基础URL。我的意思是，如果您在http://digi.ninja/mac_stuff中找到存储文件，那么这就是您传递的基础URL，也是应用在所有生成的URL前添加的内容。

例如：

1

./fdb.pl --type ds --filename ./grabbed_store_file --base_url http://digi.ninja/mac_stuff

使用这些参数，您将获得一个可以手动浏览的URL列表：

1
2
3

URL: http://digi.ninja/mac_stuff/who_really_killed_jfk.doc
URL: http://digi.ninja/mac_stuff/secret_pic.jpg
URL: http://digi.ninja/mac_stuff/hidden.txt

如果您希望fdb通过代理请求所有URL，需要添加–proxy参数：

1

./fdb.pl --type ds --filename ./grabbed_store_file --base_url http://digi.ninja/mac_stuff --proxy http://localhost:8080

默认情况下，这不会产生任何输出。如果您想查看它在做什么，需要添加–verbose参数。

在下载之前，我想警告您，没有真正的错误检查，可能至少有几个错误。如果您发现任何问题，请告诉我，我会尽力解决。

下载fdb