1、 联想b2b站SVN源代码泄露

开启Firefox，输入：b2b.thinkworldshop.com.cn/.svn/entries

Webserver返回如下信息：

可见，这里有可能存在SVN源代码泄露

我们继续使用seay的SVN源代码泄露利用工具试试

看到了吗，web目录结构已经出来了，下载试试

几分钟后，源码就下载完成了

打开index.php文件，可以看到是server端源码，而非html代码

说明，这里确实是存在SVN源代码泄露的

此时，我们就可以对该web站点的目录结构进行分析，敏感信息搜集（如：数据库链接文件），源代码审计，试图寻找SQL注入、文件上传等等漏洞实施进一步渗透攻击。

2、 联想tsonline站git文件泄露

开启Firefox，输入：tsonline.lenovo.com.cn/.gitignore

Webserver返回如下信息：

将该git文件下载，打开看看

fsd/upload/

gk/data/attachment/

gk/data/cache/

onlove/upload/

pcplus/data/

robots.txt

sitemap.xml

solution/tools/bluetool/upload/

solution/upload/

training/Lecturer/uploadfiles/

ts/data/

tsappraise/upload/

看到了吗，git文件中的内容其实已经泄露了web源代码的目录结构。

访问robots.txt文件试试

Webserver返回如下信息：

User-Agent: *

Allow: /

Allow: /solution/

Disallow: /osd/

Disallow: /fsd/

Disallow: /solution/osd/

Disallow: /solution/admin/

可见，这里确实存在git文件泄露，如果，想通过该git文件泄露，下载该web站点的源代码，可以使用githack这个工具。

关于githack：

A `.git` folder disclosure exploit. By LiJieJie

Usage: GitHack.py http://www.target.com/.git/

bug-report: my[at]lijiejie.com (http://www.lijiejie.com)

此时，使用该命令，即可下载源码： GitHack.py http://www.target.com/.gitignore/