Привет бандиты, сейчас расскажу как "грабить корованы", и почему вебдев под макосью маст дай.

И так, экскурс в историю, при создании архива под маком, создаются файлы с доп информацией, типа
__MACOSX, ._.DS_Store, ._имя_файла
Пакуем папку COOL_ARCHIVE, получаем структуру типа

COOL_ARCHIVE.zip
or
COOL_ARCHIVE.7z
|__ COOL_ARCHIVE
|__ COOL_ARCHIVE.txt
|__ .DS_Store
|__ __MACOSX
|__ COOL_ARCHIVE
|__ ._COOL_ARCHIVE.txt
|__ ._.DS_Store

Пример1

Пример поисковой выдачи гугла по дорку

https:///__MACOSX/HTML/ /HTML.zip Получаем дамп всего сайта

https:///HTML.7z а может так

Для понимания всей сути баги, пробуем дорк ниже, отпишитесь кому удалось получить бекап сайта))
inurl:__MACOSX/ shop site:com
inurl:__MACOSX/WP
Вся мощь баги в том, что создается полная иерархия архива (структура сайта, скрипты), не срабатывают index.php .htaccess, тоесть открытые каталоги, хорошо индексируются.

При бруте директорий сайта сканером, неплохо добавить в дирлист __MACOSX, ._.DS_Store также как и oldsite%EXT%, site%EXT%, new и прочее. При изучении конкретного сайта можно также пробить по гуглу наличие подобных файлов.

Отличный пример!:
Нашли вот это Index of /__MACOSX/
Тут для нас админы предусмотрели читы, можем подглядеть в корень сайта
Index of / и убедиться из какого архива было распаковано, в реальном случае корень скрыт, а имя архива мы бы набрутили