目录遍历漏洞

1.目录文件泄露

 

2.目录遍历(下载漏洞)

原理：

许多的Web应用程序通常会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名
形如：http://www.xxx.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回给访问者。

初看，在只是文件交互的一种简单的过程，可是因为文件名能够任意更改而服务器支持“~/”，“../”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件，这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时，也经常有发现，只是相对隐蔽而已。

发现路径遍历漏洞
路径遍历漏洞的发现，主要是对Web应用程序的文件读取交互的功能块，进行检测，面对这样的读取方式：
“http://www.xxx.com/test/downfile.jsp?filename=fan.pdf”
咱们可使用 “../”来做试探，

好比提交Url：“getfile=/fan/fan/*53.pdf”，而系统在解析
是“d://site/test/pdf/fan/fan/../../*53.pdf"
经过“../”跳转目录“/fan”，即“d://site/test/pdf/*53.pdf”，
返回了读取文件的正常的页面。

路径遍历漏洞隐藏通常在文件读取或者展现图片功能块这样的经过参数提交上来的文件名，从这能够看出来过滤交互数据是彻底有必要的。恶意攻击者固然后会利用对文件的读取权限进行跨越目录访问，

 

利用：http://www.xxx.com/test/downfile.jsp?filename=../../../../../etc/passwd

者”../../../../boot.ini“，

典型代码floder.php:

<?php
$page=$_GET['name'];
$dir=dirname($page); //返回目录部分的字段
$handle=opendir($dir.".");//打开目录，回目录句柄资源
$array_file=array(); //定义数组存储文件名
while (false !== ($file=readdir($handle))){//readdir() 函数返回目录中下一个文件的文件名
    if ($file!="."&&$file!="..")//判断目录末尾是否还有文件，何时返回
    {
        $array_file[]=$file;//输出文件名
    }
}  

closedir($handle);
print_r($array_file);//print_r用于打印数组或对象

?>

payload：http://127.0.0.1/floder.php?name=../

 

绕过思路：

(1) 加密参数传递的数据；

在Web应用程序对文件名进行加密以后再提交，好比：“downfile.jsp?filename= ZmFuLnBkZg- “，在参数filename用的是Base64加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交便可。要注意想办法base64.decode识别

(2) 编码绕过，

尝试使用不一样的编码转换进行过滤性的绕过，好比Url编码，经过对参数进行Url编码提交，“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3) 目录限定绕过；

在有些Web应用程序是经过限定目录权限来分离的。固然这样的方法不值得可取的，攻击者能够经过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号，就能够直接跳转到硬盘目录下了。本质是加入乱七八糟的绕过waf识别

(4) 绕过文件后缀过滤；

一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者能够在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。
例如：../../../../boot.ini%00.jpg，Web应用程序使用的Api会容许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为“../../../../boot.ini”。
在类Unix的系统中也可使用Url编码的换行符，例如：../../../etc/passwd%0a.jpg若是文件系统在获取含有换行符的文件名，会截短为文件名。也能够尝试%20，例如: ../../../index.jsp%20

(5) 绕过来路验证。
Http Referer : HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，通常会带上Referer，告诉服务器我是从哪一个页面连接过来的

在一些Web应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法能够尝试经过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer便可，这主要是缘由Http Referer是由客户端浏览器发送的，服务器是没法控制的，而将此变量看成一个值得信任源是错误的。

 

修复以及预防：

对传来的参数作过滤

文件ID使用随机数命名

文件路径保存至数据库，用户提交文件对应ID下载文件，路径识别拼接都在后端，黑客没法操做

下载文件以前作权限判断，设置好目录权限。