🔬
JTZ
  • 启航
    • 💻介绍
    • 🔧路径以及总结
    • 🏆日记
      • 😀2022-12-26
      • 😀2022-11-13
      • 😀2022-11-4
  • 网络&系统
    • 🔧端口&协议
      • NFS 介绍
      • Kerberos 介绍
      • WINRM 介绍
      • Telnet 协议
      • CDN 介绍
      • ICMP 介绍
      • DNS
      • RDP
      • SNMP
      • FTP
      • SMB
      • WMI
      • SSH
    • 🔧计算机网络
      • 计算机网络
        • 什么是网络
          • 什么是网络
          • 什么是交换机
          • 什么是路由器
          • 什么是防火墙
        • Model
          • 什么是TCP/IP模型?什么是OSI模型?
        • IP
          • IP地址
      • 资源
        • Postman
        • 思科模拟器 8.2
        • Cisco Packet Tracer
        • 视频
        • WireShark
      • 协议
        • MAC
        • DHCP
        • 端口转发
        • ARP
        • ICMP
      • 第一章--概述
      • 第二章--物理层
      • 第三章--数据链路层
      • 第四章--网络层
      • 第五章--传输层
      • 第六章--应用层
    • 🔧操作系统
    • 🔧Windows
      • 工具
        • WSL 安装 kail
          • Windows 端口转发 WSL 流量
          • 使用远程桌面连接 kali
        • VMware
        • WizTree
        • Beyond Compare 4
        • 画图软件
        • 记笔记软件
          • Typora 插件
          • Typora 图床
        • 文本编辑器
        • 视频播放器
        • VPN
        • 录屏工具
        • Wise Disk Cleaner
        • WinHex
        • Custom Cursor
        • RAMMap
        • Snipaste
        • PowerTotys
        • 浏览器
          • 浏览器插件
      • Windows
    • 🔧Linux
      • 杂类
        • linux中mnt,media以及dev目录的区别
        • 如何在 SSH 身份验证后运行脚本
        • 探索 Reverse SHELL
        • 恢复文件
        • PID 介绍
        • sudo配置文件/etc/sudoers
        • 定时任务
      • 权限
        • Linux 访问控制列表 (ACL) 简介
      • 目录
        • /mnt
        • /media
        • /etc
        • /usr
        • /proc
      • 工具推荐
        • linux下使用clash(GUI)
        • 终端模拟程序
      • Linux命令
        • 查看文件信息
        • 磁盘信息
      • Linux
  • 工具
    • 🔧端口&服务
      • 22 -- SSH
        • ssh-audit
      • 25/465/587 -- SMTP/s
        • SMTP 命令
        • sendEmail
        • swaks
      • 53 -- DNS
      • 80/443 -- WEB 服务
        • CURL
        • CMS
          • droopescan
          • JoomlaScan
          • WPScan
        • 扫描工具
          • feroxbuster
          • WFUZZ
          • gobuster
          • FFUF
      • 88 tcp/udp -- Kerberos
      • 139/445 -- SMB
        • enum4linux-ng
        • smbClient
        • smbmap
        • rpcclient
      • 873--Rsync
        • Rsync
      • 2049-TCP/UDP-NFS
        • NFS no_root_squash/no_all_squash 错误配置
      • 5985/5986 -- WINRM
        • evil-winrm
        • 内网移动
      • 云服务
        • AWS
    • 端口扫描
      • masscan
      • nmap
        • 研究
        • nmap-common
        • ndiff
        • nping
    • SHELL
      • Windows 交互 SHELL
      • pwncat-cs
      • Netcat
      • MSF
      • Socat
    • 脚本工具包
      • 🔧Impacket
        • Hunting for Impacket
    • 📖字典
      • CEWL
    • 自动化扫描工具
      • nikto
      • SQLMAP
    • 密码&解密&爆破
      • 识别 Hash
        • hash-identifier
        • hashid
      • 破解 Hash
        • John
        • Hashcat
        • Hydra
      • DomainPasswordSpray
    • 渗透框架工具
      • Searchsploit
      • Metasploit
        • Msfvenom
    • 文件
      • Imagemagick
      • Exiftool
    • 开发工具
      • Git
    • 浏览器
      • 浏览器密码&历史等信息
    • crackmapexec
    • OPENSSL
      • Heartbleed
    • 文件隐写术
      • binwalk
      • Exiftool
      • Steghide
    • 频谱分析
  • 🛸权限提升
    • 🔧Active Directory
      • 🦯AD 枚举和攻击 -- 工具
        • BloodHound
        • Kerbrute
    • 🔧Windows
      • 🦯Windows 权限提升工具
    • 🔧Linux
      • 提权
        • Linux 提权思路
        • Linux 提权备忘录
      • 资料
        • Linux 权限: SUID, SGID, sticky
      • 🦯Linux 提权工具
        • 📱Pspy
  • 🕶️HTB 学院
    • SHELLS&Payloads
    • 文件传输
    • 足迹
    • Pivoting &隧道和端口转发
    • 密码攻击
  • 🖥️WEB 渗透测试
    • 命令注入(RCE)
      • 🚚资源
    • 身份验证
    • 信息泄露
      • 信息泄露工具
    • XXE
      • 资源
      • XML 介绍
    • XSS
      • 资源
    • IDOR
    • CORS
      • 资源
    • IDOR
    • SSRF
      • 资源
    • Page 1
    • 目录遍历
    • 访问控制
    • 文件上传
      • 资源
      • WAF 绕过
    • 点击劫持
    • CSRF
      • 资源
        • 同源策略
    • SSTI
      • 资源
    • WebSocket
    • 逻辑缺陷
    • 反序列化
    • 文件包含
      • /proc/self/envirom
    • 文件隐写术
  • 🔧编程语言
    • 编程工具
      • Vs-Code
      • Jetbrains
      • Navicat Premium 15
    • C/C++
      • Linux C 一站式编程学习
    • Java
      • 资源
        • JDK
        • 画类图软件
    • Python
      • 资源
        • Python 环境
        • Python 虚拟环境
    • SHELL 教程
      • SHELL 教程
      • 高级Bash脚本编程指南
      • 1.1 变量
      • 1.2 特殊字符
      • 1.3 正则表达式
      • 1.4 数组
      • 1.5 字符串
      • 1.6 函数
      • 1.7 循环判断
      • 扩展
        • 执行命令
        • 子 SHELL
  • 🔧云开发
    • 🔧Docker
      • 🔧Docker
  • 🔧信息收集
    • 网站内容
    • OSINT
    • 侦查
      • Shodan.io
      • google 语法
    • 子域枚举
      • dig
  • 🔧逆向
    • 工具
      • GDB
        • PEDA
      • ghidra
  • 🔧杂章
    • 杂章
      • 区域传输
      • XFF&Referer
      • VHOST
      • ASN
      • Shadow Defender
      • WinHex
由 GitBook 提供支持
在本页
  • 介绍
  • 攻击方法
  • 1. 双写
  • 2. 利用空字节绕过文件扩展名
  • 3. 绝对路径
  • 4. 对网站存在的资源进行目录遍历攻击
  • 5. 文件上传中利用目录遍历
  • 6. 对于 ZIP 文件,在文件上传时,可以替代头像上传,并利用目录遍历
  • 普通防御手段
  • 1. 简单的 ../ 目录遍历防御
  • 2. GET请求参数中不允许存在 .. 与 /
  • 3. 当服务器只允许获取当前格式的资源
  • 终极防御手段
  • 配合
  • 1. 文件上传&目录遍历
  • 2. 信息泄露&目录遍历
  • 参考文章

这有帮助吗?

在GitHub上编辑
  1. WEB 渗透测试

目录遍历

OWASP-TOP10

介绍

目录遍历是一种允许攻击者读取运行应用程序的服务器上的任意文件的漏洞,攻击者可以利用这一步方法区读取网站的数据库配置文件或者应用程序的配置文件、源码,来为进一步的攻击做铺垫

攻击方法

目录遍历攻击是基于操作系统的一种攻击方式

../ 命令将会贯穿整个目录遍历攻击路径,也是核心所在

1. 双写

  • 后端代码可能会过滤 ../ 所以我们可以利用 ....// 来进行绕过

  • 对 ../ 进行 URL 编码

2. 利用空字节绕过文件扩展名

如果应用程序要求用户提供的文件名必须以预期的文件扩展名结尾,例如.png,则可以使用空字节有效地终止所需扩展名之前的文件路径。例如

filename=../../../etc/passwd%00.png

3. 绝对路径

在访问时使用文件系统根目录的绝对路径

4. 对网站存在的资源进行目录遍历攻击

在网站请求图片时,在请求图片的同时尝试目录遍历

正常的请求时这样的:这会去 127.0.0.1/home/image 下寻找 1.jpeg 文件

127.0.0.1/home/image?filename=1.jpg

但是我们可以修改这里的文件名称进而形成目录遍历:这时我们就会找到 127.0.0.1/home 下的 passwords.txt 文件

127.0.0.1/home/image?filename=../password.txt

5. 文件上传中利用目录遍历

在上传文件时,我们要上传的目录可能是 /PathTraversal/user/tests 下,但是我们可以通过目录遍历的方式,将要上传的图片上传至其他目录

最后我们可以发现我们上传到 /PathTraversal/user 下

6. 对于 ZIP 文件,在文件上传时,可以替代头像上传,并利用目录遍历

  • 场景应用于文件上传界面,但同样也是一个非常特殊的点。早在之前人们并不重视这个情况的时候,Zip 文件可以作为文件上传。

  • 攻击者可以利用../来改变 Zip 包中某个文件的存放位置。

Zip 文件在解压之后,在攻击者的精心设计之下,很有概率会覆盖服务器上原有的文件。举个例子,php 当中的 .htacess 文件就是最著名的文件上传的覆盖,若是覆盖了 .htacess 文件,那么就可以进一步的利用

普通防御手段

1. 简单的 ../ 目录遍历防御

我们可以在后端对请求进行过滤:

return super.execute(file, fullName != null ? fullName.replace("../", "") : "");

这会将输入的 ../ 过滤替换为空格,但是我们可以使用双写绕过 ....//

这里在实际生活中通常会对这里进行循环替换

2. GET请求参数中不允许存在 .. 与 /

后端代码对参数值进行设置,禁止存在 .. 与 /

绕过思路:

  • 原理: 服务器后台在获取到参数值后,会进行一次 URLDECODE , 如果只是单纯的对参数进行 URL 解码,则可以通过 URL 编码绕过

  • payload

    ?filename=%2e%2e%2f/etc/passwd
    # %2e%2e ------> ..
    # %2f ------> /

3. 当服务器只允许获取当前格式的资源

情景:若此时资源为图像,那么服务器只允许的请求是?filename=图片格式的后缀。只有?filename=1.jpg才可以被请求。

绕过思路:空字节绕过

空字节绕过,也就是增添空格,因为空格后的内容都会被自动过滤。而空格对应的 hex 编码为 %00,所以我们构造新的 payload。

?filename=../etc/passwd%001.jpg

# 转换一下,也就是
?filename=../etc/passwd 1.jpg

# 在空字节存在的情况下,空格后面的内容会直接被注释掉,就变成了这样。
?filename=../etc/passwd

终极防御手段

  1. 限制用户输入路径在某一个范围内

  2. 标准化所有字符

  3. 验证用户的输入是否在白名单内

    限制用户请求资源,写正则表达式批量规范请求资源的白名单

配合

1. 文件上传&目录遍历

可以在文件上传的页面处,查看是否可以上传到其他文件夹中

2. 信息泄露&目录遍历

可以借助目录遍历来查看服务器上更多的信息

参考文章

上一页Page 1下一页访问控制

最后更新于2年前

这有帮助吗?

🖥️
从 0 到 1 完全掌握目录遍历漏洞