目录遍历漏洞学习（含pikachu练习）

路径遍历攻击（也称为目录遍历）是指在访问储存在web根目录文件夹之外的文件和目录。通过操纵带有“点-斜线（…）”序列及其变化的文件或使用绝对文件路径来引用文件的变量，可以访问存储在文件系统上的任意文件和目录，包括应用程序源代码、配置和关键系统文件。
需要注意的是，系统操作访问控制（如在微软windows操作系统上锁定或使用文件）限制了对文件的访问权限。
这种攻击也称为 “点-点斜线”、“目录遍历”、“目录爬升”和“回溯”。

当用户发起一个前端的请求时，便会将请求的这个文件的值(比如文件名称)传递到后台，后台再执行其对应的文件。 在这个过程中，如果后台没有对前端传进来的值进行严格的安全考虑，则攻击者可能会通过“…/”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来，形成目录遍历漏洞。

看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载，甚至文件包含漏洞有差不多的意思，是的，目录遍历漏洞形成的最主要的原因跟这两者一样，都是在功能设计中将要操作的文件使用变量的 方式传递给了后台，而又没有进行严格的安全考虑而造成的，只是出现的位置所展现的现象不一样，因此，这里还是单独拿出来定义一下。
需要区分一下的是,如果你通过不带参数的url（比如：http://xxxx/doc）列出了doc文件夹里面所有的文件，这种情况，我们成为敏感信息泄露。 而并不归为目录遍历漏洞。

<img src="/loadImage?filename=214.png">

使用filename参数加载图像文件，图片文件位置可能映射在 /var/www/images/ 上，所以真实的路径是 /var/www/images/214.png
这就导致了攻击者可以读取服务器上的任意文件：
https://www.*****.com/loadImage?filename=…/…/…/etc/passwd
filename的参数值与真实路径组合起来就是：
/var/www/images/…/…/…/etc/passwd
其等价于：
/etc/passwd

在Unix操作系统上，…/ 是一个标准的返回上一级路径的语法；
在Windows操作系统上， …/ 和 …\ 都是返回上一级的语句。

?page=xxx.php
?home=xxx.html
?index=xxx.jsp
?file=content

1：…/…/…/…/…/…/（多少个…/都行，越多越好）/etc/passwd
URL上这一串东西的意义：…/返回上级目录，当返回到根目录时候再…/还是根目录，然后直接进入linux系统的passwd文件
2.file:///etc/passwd（这里是文件包含漏洞，不过利用方法一致）
3.http://xxxxx
前两者用途：可以读取到目标系统的机密文件

一般发现目录遍历的漏洞的探针，也就是测试的时候往往是使用这样的payload
http://www.xxxx.com/xxx.php?page=…/…/…/…/…/…/…/…/…/…/…/…/…/etc/passwd
看是否会返回该文件的内容，这就造成了目录遍历的漏洞产生。
还可以本地利用PHP环境搭建一个读取文件的脚本。来实现目录遍历。

<?php
$dir_path=$_REQUEST['path'];
$page=scandir($dir_path);
var_dump($page);
?>

1.加密参数传递的数据
有的网站程序传递参数后会进行base64加密（当然也会有其他加密），导致我们传递的参数无法解析，所以就无法利用目录遍历，而绕过方式也很简单，就是先对参数进行base64加密后再进行传参。如：?page=bTByZS50eHQ=
2.编码绕过
进行传参时将参数进行编码，实现绕过，比如URL编码。?page=%6D%30%72%65%2E%74%78%74
3.双写…/绕过
防御措施是直接将 …/ 替换为空，可以直接采用双写/复写直接绕过：
filename=…//…//…///etc/passwd
4.目录限定绕过
有些Web应用程序是通过限定目录权限来分离的。可以使用一些特殊的符号来绕过。比如提交这样的xxx.php?page=~/…/boot。就可以直接跳转到硬盘目录下。
5.绕过文件后缀过滤
一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者可以在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。
比如：…/…/…/…/boot.ini%00.jpg，Web应用程序使用的Api会允许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为…/…/…/…/boot.ini。
在类Unix的系统中也可以使用Url编码的换行符，例如：…/…/…/etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名，会截短为文件名。也可以尝试%20，例如: …/…/…/index.php%20
6.绕过来路验证
Http Referer : HTTP Referer是header的一部分，
当浏览器向web服务器发送请求的时候，一般会带上Referer，
告诉服务器我是从哪个页面链接过来的

在一些Web应用程序中，会有对提交参数的来路进行判断的方法，
而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可，
这主要是原因Http Referer是由客户端浏览器发送的，
服务器是无法控制的，而将此变量当作一个值得信任源是错误的。

特殊的标题 ---- web服务器的配置不当

可能存在目录遍历
–尝试 利用百度语法/google搜索
intitle:Index of /

随便选择一个打开就是了。

在防范遍历路径漏洞的方法中，最有效的是权限的控制.
（防止文件路径遍历漏洞的最有效方法是避免将用户提供的输入完全传递给文件系统API。）
谨慎的处理 向文件系统API传递过来的参数路径。
主要是因为大多数的目录或者文件权限均没有得到合理的配置，
而Web应用程序对文件的读取大多依赖于系统本身的API，
在参数传递的过程，如果没有得严谨的控制，则会出现越权现象的出现。
在这种情况下，Web应用程序可以采取以下防御方法，最好是组合使用。
(1) 数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，
对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。
(2) Web应用程序可以使用chrooted环境访问包含被访问文件的目录，
或者使用绝对路径+参数来控制访问目录，
使其即使是越权或者跨越目录也是在指定的目录下。
(3)上面的几种绕过方式进行组合使用。

以下是一些简单的Java代码示例，用于根据用户输入来验证文件的规范路径：

File file = new File(BASE_DIRECTORY, userInput);
if (file.getCanonicalPath().startsWith(BASE_DIRECTORY)) {
    // process file
}

点击第一个
链接就这样了
http://localhost/pikachu-master/vul/dir/dir_list.php?title=jarheads.php
跳转成这样

尝试构造漏洞利用链接，失败
/vul/dir/dir_list.php?title=…/…/

从上面能看出来是因为这里是使用文件包含的函数来进行完成的，所以只有目录没有文件就算包含失败了。
可是将dir_list.php去掉后，即:http://localhost/pikachu-master/vul/dir/ 得到这样的一个页面。

我觉得这样才算是目录遍历，然后在后面不停的加上…/就可以查看到其他的目录了