51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 3716|回复: 1
打印 上一主题 下一主题

[讨论] 【渗透测试】目录遍历漏洞

[复制链接]
  • TA的每日心情
    郁闷
    2022-8-29 14:43
  • 签到天数: 1 天

    连续签到: 1 天

    [LV.1]测试小兵

    跳转到指定楼层
    1#
    发表于 2018-4-18 15:19:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/ima
    ge.jpg”,将读取的内容返回给访问者。

    初看,在只是文件交互的一种简单的过程,但是由于文件名可以任意更改而服务器支持“~/”,“../”等特殊符号
    的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,如网站的配置文件、系统的核心文件,这样的缺陷被
    命名为路径遍历漏洞。在检查一些常规的Web应用程序时,也常常有发现,只是相对隐蔽而已。

    发现路径遍历漏洞
    路径遍历漏洞的发现,主要是对Web应用程序的文件读取交互的功能块,进行检测,面对这样的读取方式:
    http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf
    我们可以使用 “../”来作试探,

    比如提交Url:“getfile=/fan/fan/*53.pdf”,而系统在解析
    是“d://site/test/pdf/fan/fan/../../*53.pdf"
    通过“../”跳转目录“/fan”,即“d://site/test/pdf/*53.pdf”,
    返回了读取文件的正常的页面。

    路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名,从这可以看出来过
    滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问,
    比如访问一些受控制的文件,“../../../../../../../etc/passwd“或
    者”../../../../boot.ini“,当然现在部分网站都有类似Waf的防护设备,只要在数据中会有/etc /boot.ini等文件名
    出直接进行拦截。

    遍历路径攻击变异
    路径遍历漏洞是很常见的,在Web应用程序编写过程,会有意识的对传递过来的参数进行过滤或者直接删除,
    存在风险的过滤方式,一般可以采用如下方式进行突破:
    以下是一些绕过的方法,当然在实际运行过程中,可以组合使用。

    (1) 加密参数传递的数据;

    在Web应用程序对文件名进行加密之后再提交,比如:“downfile.jsp?filename= ZmFuLnBkZg- “,在参数file
    name用的是Base64加密,而攻击者要想绕过,只需简单的将文件名加密后再附加提交即可。所以说,采用
    一些有规律或者轻易能识别的加密方式,也是存在风险的。

    (2) 编码绕过,

    尝试使用不同的编码转换进行过滤性的绕过,比如Url编码,通过对参数进行Url编码提交,“downfile.jsp?filen
    ame= %66%61%6E%2E%70%64%66“来绕过。

    (3) 目录限定绕过;

    在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的,攻击者可以通过某些
    特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号,就可以直
    接跳转到硬盘目录下了。

    (4) 绕过文件后缀过滤;

    一些Web应用程序在读取文件前,会对提交的文件后缀进行检测,攻击者可以在文件名后放一个空字节的
    编码,来绕过这样的文件类型的检查。
    例如:../../../../boot.ini%00.jpg,Web应用程序使用的Api会允许字符串中包含空字符,当实际获取文件名
    时,则由系统的Api会直接截短,而解析为“../../../../boot.ini”。
    在类Unix的系统中也可以使用Url编码的换行符,例如:../../../etc/passwd%0a.jpg如果文件系统在获取含
    有换行符的文件名,会截短为文件名。也可以尝试%20,例如: ../../../index.jsp%20

    (5) 绕过来路验证。
    Http Referer :        HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Ref
    erer,告诉服务器我是从哪个页面链接过来的

    在一些Web应用程序中,会有对提交参数的来路进行判断的方法,而绕过的方法可以尝试通过在网站留
    言或者交互的地方提交Url再点击或者直接修改Http Referer即可,这主要是原因Http Referer是由客户端浏
    览器发送的,服务器是无法控制的,而将此变量当作一个值得信任源是错误的。

    防范遍历路径漏洞
    在防范遍历路径漏洞的方法中,最有效的是权限的控制,谨慎的处理向文件系统API传递过来的参数路径。
    主要是因为大多数的目录或者文件权限均没有得到合理的配置,而Web应用程序对文件的读取大多依赖
    于系统本身的API,在参数传递的过程,如果没有得严谨的控制,则会出现越权现象的出现。在这种情况
    下,Web应用程序可以采取以下防御方法,最好是组合使用。
    (1) 数据净化,对网站用户提交过来的文件名进行硬编码或者统一编码,对文件后缀进行白名单控制,对
    包含了恶意的符号或者空字节进行拒绝。
    (2) Web应用程序可以使用chrooted环境访问包含被访问文件的目录,或者使用绝对路径+参数来控制访
    问目录,使其即使是越权或者跨越目录也是在指定的目录下。
    总结
    路径遍历漏洞允许恶意攻击者突破Web应用程序的安全控制,直接访问攻击者想要的敏感数据 ,包括配
    置文件、日志、源代码等,配合其它漏洞的综合利用,攻击者可以轻易的获取更高的权限,并且这样的
    漏洞在发掘上也是很容易的,只要对Web应用程序的读写功能块直接手工检测,通过返回的页面内容来
    判断,是很直观的,利用起来也相对简单。





    还有一种目录遍历 那就是因为这个web服务器的配置不当造成的

    index of /

    我们可以直接利用百度语法来寻找此形式的目录遍历漏洞

    intitle:index of







    随意找一个演示下


    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情

    2020-2-2 12:43
  • 签到天数: 630 天

    连续签到: 1 天

    [LV.9]测试副司令

    2#
    发表于 2018-4-19 17:40:29 | 只看该作者
    66666666666666666666
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-14 13:18 , Processed in 0.061023 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表