一、常见源码备份文件
这类文件通常是开发人员手动备份或编辑器自动生成的,泄露后会直接暴露网站源码。
plaintext
index.php.bak
index.php~
index.php.swp
index.php.swo
index.php.old
index.php.tmp
index.php.txt
index.php.zip
index.php.rar
index.php.tar.gz
index.php.tar.bz2
index.php.tar.xz
index.php.7z
index.php.backup
index.php.bak2
index.php.bak3
index.php.1
index.php.2
index.php.old1
index.php.old2
index.php.save
index.php.temp
index.php.bak~
index.php~1~
index.php~2~二、整站 / 目录备份文件
这类文件是对整个网站或某个目录的打包备份,泄露后危害极大。
plaintext
www.zip
www.rar
www.tar.gz
www.tar.bz2
www.tar.xz
www.7z
www.backup
www.old
www.tmp
web.zip
web.rar
web.tar.gz
web.tar.bz2
web.tar.xz
web.7z
web.backup
web.old
web.tmp
backup.zip
backup.rar
backup.tar.gz
backup.tar.bz2
backup.tar.xz
backup.7z
backup.old
backup.tmp
backup1.zip
backup2.zip
backup3.zip
site.zip
site.rar
site.tar.gz
site.tar.bz2
site.tar.xz
site.7z
site.backup
site.old
site.tmp
htdocs.zip
htdocs.rar
htdocs.tar.gz
htdocs.tar.bz2
htdocs.tar.xz
htdocs.7z
htdocs.backup
htdocs.old
htdocs.tmp
public.zip
public.rar
public.tar.gz
public.tar.bz2
public.tar.xz
public.7z
public.backup
public.old
public.tmp三、版本控制与编辑器残留文件
这类文件是版本控制系统或编辑器留下的,可能包含完整的项目历史或敏感信息。
plaintext
.git
.gitignore
.gitattributes
.gitmodules
.gitconfig
.svn
.svn/entries
.svn/wc.db
.hg
.hgignore
.idea
.idea/workspace.xml
.idea/modules.xml
.DS_Store
Thumbs.db
.vscode
.vscode/settings.json
.npmrc
.yarnrc
.composer
.composer.lock
package-lock.json
yarn.lock四、配置与数据库备份文件
这类文件包含数据库连接信息、密钥等敏感配置,或直接是数据库备份。
plaintext
config.php
config.php.bak
config.php.old
config.php.txt
config.inc.php
config.inc.php.bak
config.inc.php.old
config.inc.php.txt
db_config.php
db_config.php.bak
db_config.php.old
db_config.php.txt
database.sql
database.sql.bak
database.sql.old
database.sql.txt
db_backup.sql
db_backup.sql.bak
db_backup.sql.old
db_backup.sql.txt
backup.sql
backup.sql.bak
backup.sql.old
backup.sql.txt
data.sql
data.sql.bak
data.sql.old
data.sql.txt
dump.sql
dump.sql.bak
dump.sql.old
dump.sql.txt五、其他常见备份文件
plaintext
robots.txt
robots.txt.bak
robots.txt.old
robots.txt.txt
.htaccess
.htaccess.bak
.htaccess.old
.htaccess.txt
.htpasswd
.htpasswd.bak
.htpasswd.old
.htpasswd.txt
phpinfo.php
phpinfo.php.bak
phpinfo.php.old
phpinfo.php.txt
info.php
info.php.bak
info.php.old
info.php.txt
test.php
test.php.bak
test.php.old
test.php.txt
debug.php
debug.php.bak
debug.php.old
debug.php.txt使用建议
- 针对性扫描 :在 CTF 中,当题目提示 "备份文件泄露" 时,优先扫描
.bak、.zip、.tar.gz、.git等后缀。 - 字典组合 :可以将上述字典与常用的目录字典(如
directory-list-2.3-small.txt)结合使用,提高发现率。 - 工具配合 :
- Dirsearch:
-w backup_dict.txt -e php,bak,zip,tar.gz,git,svn - Burp Suite:将字典导入 Intruder,对路径参数进行爆破。
- Dirsearch: