由%5c爆库漏洞研究的绝对路径,相对路径和虚拟目录

最新推荐文章于 2021-08-12 13:15:38 发布
最新推荐文章于 2021-08-12 13:15:38 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c0c0cf/article/details/8690378
版权

通常情况下,数据库连接文件中的server.mappath()方法,可以正常获得物理路径,但是在浏览器中的连接被修改提交后,网页的相对路径就发生了变化,重而使得路径报错,报出数据库信息.

ie特性,在浏览器中提交的连接地址中包含\浏览器会自动把 \ 转换为 /,重而访问到正确的连接地址。但是对于/小小的编码转换,就可避免ie的自动转化 %5是\的十六进制编码,当iis服务器收到用户提交的信息并作出解析时,会将%5c还原成\于是在iis服务器中,用户提交的网址的相对路径就变成了"asp\test.asp"或"asp\conn.asp"... 

 

网站服务器中,"相对路径"就是指相对于Web根目录的目录路径。例如D:\Web\在根目录建立 一个名为asp的目录,asp就是相对于D:\Web的一级子目录。对应到网站连接上来看的话,D:\Web\对应的就是"http://localhost"而"asp"就是相对于“http://localhost”的一级目录。因此,在web服务中访问asp目录是,只需要在浏览器中输入相对路径http://localhost/asp即可

 

所谓的绝对路径就是在服务器磁盘 中的真实路径,这里aso目录的绝对路径就是D :\Web\asp\是一个二级目录

 

在iis中还有一个特殊的目录路径----'虚拟目录".每个Web服务器可以重多个目录发布,Web服务器可以有一个宿主目录和任意数量的其他发布目录,其他发布目录就被成虚拟目录,上面的例子Web服务的根目录为D:\Web\通过iis虚拟目录功能,可以发布一个论坛服务,论坛程序可以位于任意路径,如在E:\bbs.通过iis虚拟目录设置,人能把bbs转化为Web目录下,直接用http:..localhost/bbs/进行访问

使用虚拟目录时,此目录指向一个绝对地址的物理路径。在iis中,在iis中,为了辨别当前访问的是否问虚拟目录,通常可以查询每个目录是否指向一个物理路径,而进行查询判断时,是以连接中\作为符号标记的。也就是说,当iis获取某个目录时,如果碰到 \ 符号,则将  \ 之后的路径作为目录的绝对路径,而忽略 \ 之前       绝对路径信息.

 

 

conn.asp数据库连接文件中,Data Source=server.MapPath("ccf.mdb")

server.MapPath()方法的作用就是把相对路径转换为物理上的绝对路径,进行数据读写。获取数据库文件的路径时,读取的路径为Web根目录+相对目录+指定的路径。

 

 

0c0c0f
关注
专栏目录
入侵检测技术课件:2-8 爆库漏洞.ppt
06-04
【入侵检测技术】中的【爆库漏洞】是一个重要的网络安全议题,涉及到网站的防护和数据安全性。爆库漏洞是指攻击者通过特定的技术手段暴露网站数据库的物理路径,从而可能获取敏感信息或对数据库进行非法操作。以下是...
关于 URL中包含%2F(/)或者%5C(\)无法访问到服务器的解决办法
We practice improving every day
05-13 2507
默认情况下Jboss和Tomcat等服务器是拒绝url中带%2F或者%5C的URL,因为它们经浏览器解析之后就变成了/和\,服务器默认是拒绝访问的,所以需要通过服务的配置来解决这个问题:   tomcat的解决方法如下:   找到%TOMCAT_HOME%/conf/catalina.properties文件:   添加: #这个是解决URL中包含%2F的问题 org.apach...
Server.MapPath()不为人知的秘密
无心的专栏
09-05 2955
ASP中,常用Server.MapPath()来获取文件或文件夹路径,但是你可能碰到过这个方法出错的情况,而在手册或者教程中根本找不到相应的说明,只能从网上搜索到问题的答案,本文是我的经验分享,希望对部分人有用。   看过本文,才敢说你懂得用Server.MapPath()   1. 为MapPath方法指定的Path参数中包含无效字符。 ASP 0214 (0x80004005)
项目在服务器的绝对路径,java获得项目绝对路径
weixin_33045071的博客
08-12 1504
在jsp和class文件中调用的相对路径不同。在jsp里,根目录是WebRoot 在class文件中,根目录是WebRoot/WEB-INF/classes 当然你也可以用System.getProperty("user.dir")获取你工程的绝对路径。1.jsp中取得路径:以工程名为TEST为例:(1)得到包含工程名的当前页面全路径:request.getRequestURI()结果:/TEST...
服务器文件的绝对路径,服务器文件绝对路径
weixin_31925685的博客
08-06 1258
服务器文件绝对路径 内容精选换一换已获取自动化工具包,并上传到服务器完成解压,得到完整的软件文件夹tsdbtool。已下载依赖:GCC-7.3.0、CMake-3.5.2的源码包,放到tsdbtool文件夹下的postgresqlDep文件夹中,下载地址见表2。已获取PostgreSQL的源码包或者RPM包,并上传到自动化工具tsdbtool目录下。根据实际环境,完成安装服务器文件绝对路径 相关内...
绝对路径相对路径详解
热门推荐
朔月
10-05 16万+
比如说你的C盘ABC文件夹下有两个文件file1和file2 如果让文件file1说出文件file2的位置(也就是路径),那么它有两种表示方法: 第一种:C:\ABC\file2 这就是绝对路径,指明file2文件在C盘ABC文件下,从最大的目录C盘开始表示出来. 第二种:file2 这就是相对路径,因为file1文件和file2文件都在C:\ABC下,所以它们的路径前面"C:\ABC"都是一样...
Python库 | lib5c-0.5.6a4.tar.gz
03-06
《Python库lib5c-0.5.6a4详解》 在信息技术领域,Python以其简洁易读的语法和强大的库支持,成为了开发者们青睐的编程语言之一。今天我们要探讨的是一个名为“lib5c”的Python库,其版本为0.5.6a4,以lib5c-0.5.6a4...
信息安全技术:目录遍历漏洞利用.pptx
11-01
3. 避免绝对路径:尽可能使用相对路径,减少对整个文件系统的访问权限。 4. 使用安全配置:针对Web服务器,如IIS,应遵循最佳实践进行配置,关闭不必要的服务和功能。 5. 定期更新和补丁:及时更新Web应用和服务器...
Dreamweaver数据库上传与获取服务器路径解决方案.doc
05-09
2. 防止%5c 暴库间接获得数据库地址。 3. 现在越来越多的空间建议将数据库文件放放到非 Web 访问目录中,这就必须要求用户使用物理路径了。 因此,在 Dreamweaver MX 动态建站数据库路径的使用方法中,推荐使用 ...
resnet18-5c106cde.pth和resnet101-5d3b4d8f.pth
08-22
5c106cde.pth”和“resnet101-5d3b4d8f.pth”是PyTorch中ResNet18和ResNet101模型的预训练权重,它们在深度学习领域有着广泛的应用,尤其是在图像识别、物体检测和语义分割等任务中,极大地提高了研究效率和实际应用...
服务器绝对路径文件怎么访问,访问服务器的绝对路径
weixin_34480323的博客
08-09 1300
访问服务器的绝对路径 内容精选换一换负载均衡将来自客户端的请求通过负载均衡器分发至后端服务器,后端服务器再将响应通过内网返回给负载均衡。负载均衡器和后端服务器之间是通过内网进行通信的。如果负载均衡器后端服务器仅处理来自负载均衡的访问请求,服务器可以不购买EIP或者NAT网关等服务,仅有私网IP即可。如果负载均衡器后端服务器还需要直接对公网提供服务,或者需要访问公网资源,则服如果Conv2D层的sh...
关于文件路径的反斜杠正斜杠和双斜杠问题
木牛的博客
12-06 5747
标签:c文件路径绝对路径相对路径斜杠it 分类:C 和OpenCV 1 C文件路径为什么要用双斜杠 因为 \ 在 C/C++/C# 中是转义前导字符,例如 \n 代表换行。 如果路径中刚好有类似转义字符开头的,那么就会引起问题,所以路径中的 \ 必须用 \\ 的形式。 2 Windows的路径中表示文件层级为什么会用反斜杠「\」,而UNIX系统都用斜杠「/」? Windo...
绝对路径相对路径、根路径
zyz00000000的博客
12-21 7263
今天探讨一下浏览器和服务器中的绝对路径相对路径和根路径 浏览器中 对于浏览器而言,是无法知道服务器中,文件目录路径的。因为浏览器获取的文件资源,很可能跟服务器中文件资源目录不对应。而服务器是知道每个文件和资源在具体的哪个位置存放。 浏览器中的相对路径: 下面代码中的reset.css header.css index.css是相对路径。你以为是相对当前的html文件index.html吗?不是! 而是相对于当前浏览器的url路径。 <!-- index.html --> &..
%5C暴库原理
Post Due To Vacuity
07-24 4020
暴库有两个方法,第一个就是利用%5c,另外一个conn.asp暴库。而且这里的暴库是针对access数据库的,而和access搭配的脚本一般是asp,因此出现暴库的一般为asp类型站点。   ASP是动态服务器页面(Active Server Pages)的英文缩写,后来也称为经典ASP,是微软公司开发的代替CGI脚本程序的一种应用,也是微软公司的第一个服务器侧的脚本引擎,能够动态产生Web
取得服务器绝对路径的2个方法
wangzexy391963822的专栏
11-04 1262
在工作中经常会遇到取得服务器绝对路径的情况,目前自己只知道以下2个方法,和大家分享一下,非常希望大家有更好的方法,也能和我分享。 (1)先取得HttpServletRequest的对象req,然后用下面的方法: [code="java"] String serverRealPath=req.getRealPath("/"); [/code] 说明:但个人不推荐用这个方法,...
Java相对路径总结
kinglino520的专栏
04-20 595
 1.基本概念的理解绝对路径绝对路径就是你的主页上的文件或目录在硬盘上真正的路径,(URL和物理路径)例如:C:xyz est.txt 代表了test.txt文件的绝对路径。http://www.sun.com/index.htm也代表了一个URL绝对路径相对路径:相对与某个基准目录的路径。包含Web的相对路径(HTML中的相对目录),例如:在Servlet中,"/"代
%5c %6b %5d %10.2f %10.2e
最新发布
03-27
%5c %6b %5d %10.2f %10.2e 是一些格式化输出的控制字符,用于在编程语言中对输出进行格式化。下面是对每个字符的介绍: 1. %5c:表示输出一个字符,其中5表示输出的宽度为5个字符,c表示输出的是一个字符。例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值