0x00 简介

Everything是一个私有的免费Windows桌面搜索引擎，可以在NTFS卷上快速地根据名称查找文件和目录。

"Everything" 是 Windows 上一款搜索引擎，它能够基于文件名快速定文件和文件夹位置。

不像 Windows 内置搜索，"Everything" 默认显示电脑上每个文件和文件夹 (就如其名 "Everything")。

0x01 漏洞概述

由于在配置中开启了ETP/FTP服务和HTTP服务，导致可以直接访问服务器上的文件。

0x02 影响范围

所有开启ETP/FTP服务和HTTP服务且未设置账号密码的Everything

0x03 环境搭建

官网下载最新版本

https://everything.en.softonic.com/

双击安装，全部为默认即可

双击打开Everything，在 工具 -- 选项 -- HTTP服务器处，启动HTTP服务并设置端口（FTP同理）

0x04 漏洞利用

浏览器访问开启的HTTP服务

http://127.0.0.1:8888

由于默认勾选了允许HTTP文件下载，所以在访问敏感信息的同时也可以任意文件下载

0x05 修复方式

开启ETP/FTP服务和HTTP服务时同时设置账号密码，如下图：

 更多最新漏洞复现，欢迎关注我的个人公众号：Timeline Sec

最新文章

1. HTML5系列：HTML5本地存储
2. javascript设计模式-装饰模式
3. MVC5 烂笔头
4. java string,需要进行首字母大写改写
5. java与c++的访问权限的问题
6. angular2 学习笔记 (Typescript)
7. MinGW 介绍
8. 从零开始搭建框架SSM+Redis+Mysql（二）之MAVEN项目搭建
9. 恢复Mysql丢失的root用户权限
10. api-gateway实践（08）新服务网关 - 云端发布和日志查看
11. mac 重装系统
12. [Swift]LeetCode1012. 至少有 1 位重复的数字 | Numbers With 1 Repeated Digit
13. k8s集群安装
14. jvm的那些设置参数你都知道吗
15. IT部门不应该是一个后勤部门
16. python学习之python安装
17. Spark DataFrame列的合并与拆分
18. python字符串转换成数字
19. swap文件查看
20. CSS Notes

热门文章

1. Visual Studio + Qt：GetVarsFromMakefile任务意外失败
2. [LeetCode] 901. Online Stock Span 线上股票跨度
3. Dubbo_异常_服务注册运行正常但是Dubbo-Admin看不到服务
4. 【C/C++开发】模板类
5. 【并行计算-CUDA开发】OpenACC与OpenHMPP
6. 小甲鱼汇编语言学习笔记——day03
7. SpringBoot应用部署到Docker上（docker-io版本）
8. 图解分布式一致性协议Paxos
9. 超级简单POI导出Excel实战
10. bootstrap-paginator + ajax 实现动态翻页功能