【渗透测试】目录遍历漏洞

许多的Web应用程序通常会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名
形如：http://www.nuanyue.com/getfile=image.jgp

当服务器处理传送过来的image.jpg文件名后，Web应用程序即会自动添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回给访问者。

初看，在只是文件交互的一种简单的过程，可是因为文件名能够任意更改而服务器支持“~/”，“../”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件，这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时，也经常有发现，只是相对隐蔽而已。

发现路径遍历漏洞
路径遍历漏洞的发现，主要是对Web应用程序的文件读取交互的功能块，进行检测，面对这样的读取方式：
“http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf”
咱们可使用 “../”来做试探，

好比提交Url：“getfile=/fan/fan/*53.pdf”，而系统在解析
是“d://site/test/pdf/fan/fan/../../*53.pdf"
经过“../”跳转目录“/fan”，即“d://site/test/pdf/*53.pdf”，
返回了读取文件的正常的页面。

路径遍历漏洞隐藏通常在文件读取或者展现图片功能块这样的经过参数提交上来的文件名，从这能够看出来过滤交互数据是彻底有必要的。恶意攻击者固然后会利用对文件的读取权限进行跨越目录访问，
好比访问一些受控制的文件，“../../../../../../../etc/passwd“或
者”../../../../boot.ini“，固然如今部分网站都有相似Waf的防御设备，只要在数据中会有/etc /boot.ini等文件名出直接进行拦截。

遍历路径攻击变异
路径遍历漏洞是很常见的，在Web应用程序编写过程，会有意识的对传递过来的参数进行过滤或者直接删除，存在风险的过滤方式，通常能够采用以下方式进行突破：
如下是一些绕过的方法，固然在实际运行过程当中，能够组合使用。

(1) 加密参数传递的数据；

在Web应用程序对文件名进行加密以后再提交，好比：“downfile.jsp?filename= ZmFuLnBkZg- “，在参数filename用的是Base64加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交便可。因此说，采用一些有规律或者轻易能识别的加密方式，也是存在风险的。

(2) 编码绕过，

尝试使用不一样的编码转换进行过滤性的绕过，好比Url编码，经过对参数进行Url编码提交，“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

(3) 目录限定绕过；

在有些Web应用程序是经过限定目录权限来分离的。固然这样的方法不值得可取的，攻击者能够经过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号，就能够直接跳转到硬盘目录下了。

(4) 绕过文件后缀过滤；

一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者能够在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。
例如：../../../../boot.ini%00.jpg，Web应用程序使用的Api会容许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为“../../../../boot.ini”。
在类Unix的系统中也可使用Url编码的换行符，例如：../../../etc/passwd%0a.jpg若是文件系统在获取含有换行符的文件名，会截短为文件名。也能够尝试%20，例如: ../../../index.jsp%20

(5) 绕过来路验证。
Http Referer : HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，通常会带上Referer，告诉服务器我是从哪一个页面连接过来的

在一些Web应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法能够尝试经过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer便可，这主要是缘由Http Referer是由客户端浏览器发送的，服务器是没法控制的，而将此变量看成一个值得信任源是错误的。

防范遍历路径漏洞
在防范遍历路径漏洞的方法中，最有效的是权限的控制，谨慎的处理向文件系统API传递过来的参数路径。主要是由于大多数的目录或者文件权限均没有获得合理的配置，而Web应用程序对文件的读取大多依赖于系统自己的API，在参数传递的过程，若是没有得严谨的控制，则会出现越权现象的出现。在这种状况下，Web应用程序能够采起如下防护方法，最好是组合使用。
(1) 数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。
(2) Web应用程序可使用chrooted环境访问包含被访问文件的目录，或者使用绝对路径+参数来控制访问目录，使其即便是越权或者跨越目录也是在指定的目录下。
总结
路径遍历漏洞容许恶意攻击者突破Web应用程序的安全控制，直接访问攻击者想要的敏感数据 ，包括配置文件、日志、源代码等，配合其它漏洞的综合利用，攻击者能够轻易的获取更高的权限，而且这样的漏洞在发掘上也是很容易的，只要对Web应用程序的读写功能块直接手工检测，经过返回的页面内容来判断，是很直观的，利用起来也相对简单。

 

 

还有一种目录遍历 那就是由于这个web服务器的配置不当形成的

index of /

咱们能够直接利用百度语法来寻找此形式的目录遍历漏洞

intitle:index of

 

 

随意找一个演示下