记一次信息泄露到数据库直接连接

小白第一次发文章，各位大佬感觉文章中有不正确的地方请指明一下。(大佬勿喷)

这几天学习挖掘XSS漏洞，所以就在爱站网中找到一个百度权重为3的网站，开干。
在个人中心填写收获地址的地方
写入payload为
“oNmOuSeOvEr=prompt(‘skk’)//

保存，发现并未出现弹框，然后我们点击编辑

发现只要鼠标放到地址区域时，出现弹框，

(这个XSS比较鸡肋,哈哈)
这是我们来进行dirsearch来目录扫描一波,

发现存在git目录

这不用githack来利用一波(注意githack使用时要在python2的环境下)

完成之后，我就在扫描的结果中，翻呀翻，找呀找，终于在index1.php文件中找到了数据库的配置文件(呜呜呜，太感动了)
信息比较敏感，所以我打码比较严重，各位不要见怪

尝试用navicat连接，发现连接成功我这里就不贴图了。
卧槽，尽然能连接成功，这里我只是测试一下是否可以连接，也没有深入
最后提交补天，哎，才给了我2kb

总结:
大家拿到网站在进行信息扫描之后如果发现git,ds_store等文件的时候，一定不要放过，说不定会发现什么小惊喜。
大家觉得还可以的话，高抬贵手，给我点个小心心。