Everything信息泄露

Posted 2021-03-25 bohb-yunying

Everything漏洞描述

[Everything]一款搜索文件非常快的工具，其速度之快令人震惊！它还有一个可以通过HTTP 或 FTP 分享搜索结果 的功能。它可以让用户在本地或局域网上的其他电脑使用浏览器进行搜索，并支持文件下载。重点来了，如果是公网IP的用户，又开启了HTTP访问，会让谷歌收录你索引的文件，也就是你硬盘里的文件全部公开在网上了。

 

漏洞复现

利用google hack在google上搜索

allintitle:Everything C:Windows

很夸张，检索到的庞大的信息量。虽然大部分都是响应超时，但是还是有漏网之鱼。

 

 基本可以点入，但是很多响应超时。选取几个成功的例子展示

 

 

 

（无意间翻到了韩国友人的漫画收藏地）

最恐怖的是还能通过查询功能直接通过Everything的语法来检索文件

 

 

 

 

开启了http服务还不设置账户密码的话，还是公网，就会暴露文件到公网。如果不小心开启了ftp服务，会造成任意文件下载泄露的严重后果。

想想看，你自己硬盘上的所有东西，全部公布在公网，不管是什么隐私，都会被看到，非常的危险。

如果需要开启http,ftp服务，记得在Everything http服务中设置用户名和密码