zoukankan      html  css  js  c++  java

  • 目录遍历漏洞

    1.目录文件泄露

    2.目录遍历(下载漏洞)

    原理:

    许多的Web应用程序一般会有对服务器的文件读取查看的功能,大多会用到提交的参数来指明文件名
    形如:http://www.xxx.com/getfile=image.jgp

    当服务器处理传送过来的image.jpg文件名后,Web应用程序即会自动添加完整路径,形如“d://site/images/image.jpg”,将读取的内容返回给访问者。

    初看,在只是文件交互的一种简单的过程,但是由于文件名可以任意更改而服务器支持“~/”,“../”等特殊符号的目录回溯,从而使攻击者越权访问或者覆盖敏感数据,如网站的配置文件、系统的核心文件,这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时,也常常有发现,只是相对隐蔽而已。

    发现路径遍历漏洞
    路径遍历漏洞的发现,主要是对Web应用程序的文件读取交互的功能块,进行检测,面对这样的读取方式:
    “http://www.xxx.com/test/downfile.jsp?filename=fan.pdf”
    我们可以使用 “../”来作试探,

    比如提交Url:“getfile=/fan/fan/*53.pdf”,而系统在解析
    是“d://site/test/pdf/fan/fan/../../*53.pdf"
    通过“../”跳转目录“/fan”,即“d://site/test/pdf/*53.pdf”,
    返回了读取文件的正常的页面。

    路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名,从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问,

    利用:http://www.xxx.com/test/downfile.jsp?filename=../../../../../etc/passwd

    者”../../../../boot.ini“,

    典型代码floder.php:

    <?php
$page=$_GET['name'];
$dir=dirname($page); //返回目录部分的字段
$handle=opendir($dir.".");//打开目录,回目录句柄资源
$array_file=array(); //定义数组存储文件名
while (false !== ($file=readdir($handle))){//readdir() 函数返回目录中下一个文件的文件名
    if ($file!="."&&$file!="..")//判断目录末尾是否还有文件,什么时候返回
    {
        $array_file[]=$file;//输出文件名
    }
}  

closedir($handle);
print_r($array_file);//print_r用于打印数组或对象

?>

    payload:http://127.0.0.1/floder.php?name=../

    绕过思路:

    (1) 加密参数传递的数据;

    在Web应用程序对文件名进行加密之后再提交,比如:“downfile.jsp?filename= ZmFuLnBkZg- “,在参数filename用的是Base64加密,而攻击者要想绕过,只需简单的将文件名加密后再附加提交即可。要注意想办法base64.decode识别

    (2) 编码绕过,

    尝试使用不同的编码转换进行过滤性的绕过,比如Url编码,通过对参数进行Url编码提交,“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

    (3) 目录限定绕过;

    在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的,攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号,就可以直接跳转到硬盘目录下了。本质是加入乱七八糟的绕过waf识别

    (4) 绕过文件后缀过滤;

    一些Web应用程序在读取文件前,会对提交的文件后缀进行检测,攻击者可以在文件名后放一个空字节的编码,来绕过这样的文件类型的检查。
    例如:../../../../boot.ini%00.jpg,Web应用程序使用的Api会允许字符串中包含空字符,当实际获取文件名时,则由系统的Api会直接截短,而解析为“../../../../boot.ini”。
    在类Unix的系统中也可以使用Url编码的换行符,例如:../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名,会截短为文件名。也可以尝试%20,例如: ../../../index.jsp%20

    (5) 绕过来路验证。
    Http Referer : HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的

    在一些Web应用程序中,会有对提交参数的来路进行判断的方法,而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可,这主要是原因Http Referer是由客户端浏览器发送的,服务器是无法控制的,而将此变量当作一个值得信任源是错误的。

    修复以及预防:

    对传来的参数做过滤

    文件ID使用随机数命名

    文件路径保存至数据库,用户提交文件对应ID下载文件,路径识别拼接都在后端,黑客无法操作

    下载文件之前做权限判断,设置好目录权限。
  • 相关阅读:
    记忆的永恒
    放弃我是你的错
    献给我逝去的长辈们清明
    思维的局限,穷人为什么会穷?
    借我一生
    陪你到老
    风雨路途
    人生的十二大财富
    怀才不遇
    javascript变量
  • 原文地址:https://www.cnblogs.com/drkang/p/8695162.html
Copyright © 2011-2022 走看看