Pikachu靶场——目录遍历漏洞和敏感信息泄露

文章目录

1. 目录遍历漏洞
- 1.1 源码分析
- 1.2 漏洞防御
2. 敏感信息泄露
- 2.1 漏洞防御

1. 目录遍历漏洞

漏洞描述

目录遍历漏洞发生在应用程序未能正确限制用户输入的情况下。攻击者可以利用这个漏洞，通过在请求中使用特殊的文件路径字符（如 …/ 或 %2e%2e/）来绕过应用程序的访问控制机制，访问应用程序所不应该暴露的文件或目录。

漏洞原理

应用程序的文件操作功能通常会接收用户提供的文件路径作为输入，并从文件系统中读取或写入文件。如果应用程序在处理用户输入时没有进行充分的验证和过滤，攻击者可以通过构造恶意的文件路径来访问任意文件或目录。

分别点击这两个连接，会显示其他内容。与之对应的URL中的title的值也会发生改变。

第一个链接

第二个链接

根据目录遍历的原理，攻击者主要通过…/来返回上一级目录, 从而导致所有目录的暴露。

构造URL

http://192.168.188.183/pikachu/vul/dir/dir_list.php?title=../../../../../../../../windows\system32\drivers\etc\hosts
1

1.1 源码分析

说明：在PHP中，使用require语句可以将指定文件的内容包含到当前脚本中。对$filename参数没有进行任何的过滤从而导致漏洞的产生。

1.2 漏洞防御

修改源码进行防御

if(isset($_GET['title'])){
    $filename=$_GET['title'];
    //这里直接把传进来的内容进行了require(),造成问题
    //代码防御
    $filename = str_replace("../","",$filename);

    require "soup/$filename";
//    echo $html;
}
1
2
3
4
5
6
7
8
9

说明：str_replace 是 PHP 中的字符串替换函数，可用于将字符串中指定的子串替换为另一个子串。这里是将../替换为空字符串。

访问hosts文件

防御成功，但是这样的防御是可以使用..\进行绕过。

http://127.0.0.1/pikachu/vul/dir/dir_list.php?title=..\..\..\..\..\..\..\..\windows\system32\drivers\etc\hosts
1

观察发现在进行访问的时候URL中的title的值分别是jarheads.php和truman.php这两个php文件。那么我们可以添加白名单进行防御。

防御代码如下：

if(isset($_GET['title'])){
    $filename=$_GET['title'];
    //这里直接把传进来的内容进行了require(),造成问题
    //代码防御
    if($filename == 'jarheads.php' or $filename == 'truman.php'){
        require "soup/$filename";
    }else{
        die("黑客！！！");
    }
    // require "soup/$filename";
//    echo $html;
}
1
2
3
4
5
6
7
8
9
10
11
12