路径遍历(一):PortSwigger靶场通关笔记

已于 2024-07-12 23:48:51 修改
阅读量771 收藏 10
点赞数 27
文章标签: 笔记 网络安全 web安全
于 2024-07-12 23:48:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aaaadoga/article/details/140390944
版权

写在前面

这篇文章主要是对作者关于portswigger提供的路径遍历的相关lab的通关笔记
通过这些lab需要的工具是burpsuite

路径遍历是什么

路径遍历也称为目录遍历,这种漏洞允许攻击者读取运行应用的服务器上的任意文件,在某些情况下,攻击者还可以修改应用的数据或行为,并最终获取服务器的所有控制权
举个攻击者通过路径遍历读取任意文件例子:
假设当前访问的页面通过以下代码加载了一张图片
<img src="/loadImage?filename=218.png">
在实际的服务器上,218.png存放在/var/www/images/218.png
如果该网站存在目录遍历漏洞,攻击者就可以通过构造以下url访问/etc/passwd文件
http://hostname/loadImage?filename=../../../etc/passwd

lab1:直接目录遍历读取文件

lab1地址:File path traversal, simple case
最理想的状态下,应用一点关于目录遍历的防护措施都没有,直接进行遍历即可,攻击者只需要对文件存放的实际位置进行猜测验证即可,拿到正确路径就可以读文件
lab是一个商店,加载了许多图片
lab1-home.png
在burpsuite中随便选一个发送到repeater中
lab1-step1.png
读取目标为/etc/passwd,猜测文件路径,逐渐添加../即可,只需要向上返回到根路径即可读取到文件
lab1-step2.png

lab2:绝对路径绕过对目录遍历序列的过滤

lab地址:File path traversal, traversal sequences blocked with absolute path bypass某些情景下,应用会将用户的输入中包含的目录遍历序列(即../)顾虑,这种情况下,如果应用允许用户输入绝对路径,则可以绕过该防御方式
lab2-step1.png
lab2-step2.png

lab3:绕过非递归目录遍历序列过滤

Lab地址:Lab: File path traversal, traversal sequences stripped non-recursively
某些情景下,应用会对用户的输入进行非递归的目录遍历序列过滤,这种情况下,对目录遍历序列进行重写即可绕过,譬如:....//
lab3-step1.1.png
lab3-step2.png

lab4:url编码绕过目录遍历序列过滤

lab地址:File path traversal, traversal sequences stripped with superfluous URL-decode
有些场景下,服务器可能会将路径遍历序列过滤后在将输入传递给文件系统api,这种情况下可以通过对../进行url编码来绕过,譬如:
../ => ..%2f => ..%252f
%25%的url编码
某些情况下,其他非标准的url编码方式也可以,比如
%c0%af解码后是0xc0 0xaf,在utf-8字符集下表示/
%ef%bc%8f解码后是U+FF0F,在 Unicode 中是全角的/ 字符
lab4-step1.png
lab4-step2.png

lab5:绕过指定预期文件夹的过滤

lab5地址:Lab: File path traversal, validation of start of path
某些场景下,应用可能要求用户提供的文件名必须包含预期的base目录,这种情况下,我们还是可以使用../组合来进行目录遍历,我认为这个lab甚至比基础lab还要简单,因为这意味着不用猜文件实际的位置了
lab5-step1.png

lab6:绕过指定请求文件后缀名的过滤

lab6地址:File path traversal, validation of file extension with null byte bypass
在某些场景下,应用可能要求用户提供的文件名以特定的后缀结尾,这时候可以考虑通过%00空字符进行一个绕过
该lab指定的后缀名是.png,我们直接将其用%00进行截断,成功读取
lab6-step1.png

如何防止路径遍历

最有效的方式是避免将用户的输入传递给文件系统api,如果无法避免的要将用户输入传递给文件系统api,可以考虑建立下方的两层防护:

  1. 校验用户的输入,最佳的实践方式是有一个预设的文件白名单,直接比较输入是否在允许的白名单上即可,任何不是对白名单上的文件的请求都被拒绝。如果无法实施文件白名单,则可以设置一个字符白名单,只允许输入包含白名单中的字符
  2. 校验用户输入后,将输入和基本目录做拼接,然后使用语言提供的文件系统api规范化路径,然后比较规范化后的路径是否以基本目录开头,不是则拒绝该请求;譬如下面以python举个例子:
import os

base_directory = "/var/www/imgs"
origin_path= os.path.join(base_directory, user_input)
canonicalize_path = os.path.realpath(origin_path)
if not canonicalize_path.startswith(base_directory):
  # 进行拒绝及其他操作
  pass
h4ckb0ss
关注
Portswigger 业务逻辑漏洞 靶场
A182184的博客
12-21 948
burpsuite业务逻辑漏洞一些实验
portswigger之SQL注入实验室笔记
m0_69349614的博客
07-06 1245
该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因此您可以使用 UNION 攻击从其他表中检索数据。这种攻击的第一步是确定查询返回的列数。然后,您将在后续实验中使用此技术来构建完整的攻击。要解决该实验,请通过执行SQL 注入 UNION攻击来确定查询返回的列数,该攻击会返回包含空值的附加行。'+ORDER+BY+3--'+UNION+SELECT+NULL,NULL,NULL--该实验室在产品类别过滤器中包含一个 SQL 注入漏洞。查询的结果在应用程序的响应中返回,因
文件上传(一):PortSwigger靶场通关笔记
aaaadoga的博客
07-13 1153
文件上传漏洞通常指应用对用户上传的文件没有完善的检验,允许攻击者通过Web应用程序上传恶意文件到服务器,然后通过这些恶意文件来进行执行任意代码,在客户端影响用户等攻击
API测试(一):PortSwigger靶场笔记
aaaadoga的博客
07-14 678
这篇文章是关于作者在学习PortSwigger的API Test类型漏洞时的记录和学习笔记
PortSwigger靶场CSRF最新版详细通关记录
LawnCat的博客
02-16 1715
该文章为portswigger中CSRF中绕过token篇。
BurpSuitePortswigger 安全学院Path Traversal路径遍历内容学习笔记靶场通关方法(个人手工翻译补充顺序跟随Learning Path,适合复习基础、零基础初学黑客渗透)
weixin_51698245的博客
02-10 416
讲述了目录穿越漏洞的基础
PortSwigger Academy | Authentication : 身份认证
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-14 3231
文章目录什么是身份验证?身份验证和授权有什么区别?身份验证漏洞是如何产生的?易受攻击的身份验证有何影响?身份验证机制中的漏洞 ↓第三方身份验证机制中的漏洞防止对您自己的身份验证机制的攻击 ↓如何保护身份验证机制注意用户凭据不要指望用户来保证安全防止用户名枚举实施强大的暴力破解保护反复检查验证逻辑别忘了补充功能实施适当的多因素身份验证 在本节中,我们将介绍一些网站使用的最常见的身份验证机制,并讨论其中的潜在漏洞。我们将重点介绍不同身份验证机制中的固有漏洞,以及由于身份验证的不恰当实现而引入的一些典型漏洞。最
大黑客养成系列:Top10漏洞利用方式、靶场通关笔记、好用工具分享、漏洞挖掘技巧、安全研究、前沿技术探索.zip
01-14
首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面...
PortSwigger靶场CSRF怎么提交
05-05
PortSwigger靶场中,进行CSRF攻击时,需要构造一个恶意请求,然后将其发送给目标网站。一般来说,恶意请求中需要包含一个CSRF token来伪装成合法的请求。 具体的提交方式可能有所不同,取决于靶场中的具体实现。...
BurpSuit官方实验室之目录穿越
tpaer的博客
11-13 846
这是BurpSuit官方的实验室靶场,以下将记录个人目录穿越共6个Lab的通关过程。
STM32学习笔记(二、初识stm32单片机)
tommorrowwill的博客
09-10 738
首先stm32是意法半导体公司(ST)使用ARM公司的Cortex-M为核心生产的32位的单片机。其中,ST---意法半导体公司,即SOC厂商。M---为Microelectronics的缩写,即微型处理器。32---表示控制器为32位的。103---表示F系列的子系列。
C++学习笔记----6、内存管理(五)---- 智能指针(3)
weixin_71738303的博客
09-11 1069
与指向特定类型的原始指针可以转化为不同类型的指针一样,shared_ptr保存特定的类型可以转化为一个另一种类型的shared_ptr。转化shared_ptr的函数是const_pointer_cast(),dynamic_pointer_cast(),static_pointer_cast()和reinterpret_pointer_cast()。前面简要提过,当拥有共享属主的智能指针,例如shared_ptr不在活动范围或者被重置时,只有它是最后指向的智能指针时才能释放其指向的资源。
【C++学习笔记】数组与指针(三)
qq_38196449的博客
09-09 1176
0(空字符)
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
最新发布
qq_44189622的博客
09-11 804
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
Webpack学习笔记
m0_74375748的博客
09-09 1415
定义静态模块:指的是编写代码过程中的,html,css,js,图片等固定内容的文件打包:把静态模块内容,压缩,整合,转译等(前端工程化)less/sass转成css代码把ES6+降级成ES5支持多种模块标准语法使用:webpack打包默认出口是dist下的main.js。
OJ在线判题系统项目笔记
今天不coding的博客
09-11 732
OJ在线判题系统项目笔记
经验笔记Web 浏览器存储手段
qq_45831414的博客
09-10 822
以上就是使用 IndexedDB 的基本步骤。IndexedDB 提供了强大的数据存储能力,并且可以通过索引来优化数据检索性能。在实际应用中,可能还需要处理更复杂的场景,比如数据迁移、错误处理等。务必确保你的代码能够妥善处理各种异常情况。
C++学习笔记(10)
qq_60098634的博客
09-07 709
unordered_multimap 和 unordered_map 的区别在:unordered_multimap 允许关键字重复,而。unordered_multiset 和 unordered_set 的区别在:unordered_multiset 允许关键字重复,而。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值