概述
在web功能設計中,很多時候我們會要將需要訪問的文件定義成變量,從而讓前端的功能變的更加靈活。 當用戶發起一個前端的請求時,便會將請求的這個文件的值(比如文件名稱)傳遞到后台,后台再執行其對應的文件。 在這個過程中,如果后台沒有對前端傳進來的值進行嚴格的安全考慮,則攻擊者可能會通過“../”這樣的手段讓后台打開或者執行一些其他的文件。 從而導致后台服務器上其他目錄的文件結果被遍歷出來,形成目錄遍歷漏洞。
看到這里,你可能會覺得目錄遍歷漏洞和不安全的文件下載,甚至文件包含漏洞有差不多的意思,是的,目錄遍歷漏洞形成的最主要的原因跟這兩者一樣,都是在功能設計中將要操作的文件使用變量的方式傳遞給了后台,而又沒有進行嚴格的安全考慮而造成的,只是出現的位置所展現的現象不一樣,因此,這里還是單獨拿出來定義一下。 需要區分一下的是,如果你通過不帶參數的url(比如:http://xxxx/doc)列出了doc文件夾里面所有的文件,這種情況,我們稱為敏感信息泄露。 而並不歸為目錄遍歷漏洞。(關於敏感信息泄露我博客也寫得有)
點擊試試
下面圖可以看到URL發生變化且有個參數title,title的內容是一個文件名,下面直接爆出該文件名的內容
我們嘗試一下修改title的值,爆出etc下的passwd文件,輸入../../../../../../../../../../etc/passwd
可以看到成功顯示passwd的內容。說明這里后台沒有進行一個嚴格的安全考了導致了漏洞。
那么我們爆出指定文件的內容,是否可以直接爆出后台所有的文件目錄呢?
這里換一種思維去操作,可以看到整個URL可以看成就是一個jasheads.php文件的路徑。
我把上圖選中的路徑刪掉,直接在dir目錄下的文件。
直接爆整個后台的目錄,在后面輸入../../就OK了
敲回車就自動跳轉到后台的整個目錄頁面了,此時看到URL也發生了變化。
成功爆出整個后台的目錄!當然這個地方是開啟了目錄瀏覽造成的。