定义
目录遍历(也称为文件读取),允许攻击者读取运行应用程序的服务器上的任意文件。这可能包括应用程序代码和数据、后端系统的凭据以及敏感的操作系统文件。在某些情况下,攻击者可能能够写入服务器上的任意文件,从而允许他们修改应用程序数据或行为,并最终完全控制服务器。
流量特征
如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容
目录遍历漏洞的特征要注意:
?page=xxx.php ?index=xxx.jsp ?home=xxx.html ?file=content 最终也要结合响应包进行最终确认是否攻击成功,是否响应。
告警示例:
payload:ba.online.sh.cn /.%%32%5/32%65/.%*32%65/%%32%6/.%332%65/%%32%65/.%2%65/%%32%5/.2%65.*x32%5/.32%65/.%%32%65/.%32%6
5/.%%32%65/ .%%32%65/.%%32%65/ .%%32%65/ %%32%65/.%%32%65/.%%32%65/etc/passwd通过UTF-8解码之后再进行url解码得出:
ba.online.sh.cn/../../../../../../../../../../../../../../../../../../../../etc/passwd
所以在payload中或者url中出现大量的../...//../..//./.../.../.../敏感目录,或者有各种危险的协议,比如file协议,data协议,php协议等,大概率为真实攻击。
仅供参考,若有误,请大佬指正!!!!!