路径穿越(Path Traversal)详解
前言
本文主要是对路径穿越漏洞进行学习总结,本身这个漏洞也并不常见,主要是多产生于php的程序。
这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。
常用来其他读取、写入类漏洞结合。
路径穿越漏洞的分类
我个人给这种漏洞形成的原因可以分为两类
错误配置
由于带有中间代理转发性质的功能配置错误
程序本身代码存在问题
这一点十分好理解,就是代码写的有问题,逻辑简单,没有验证。
漏洞容易出现的位置
第一类:文件类参数
请求参数似乎包含文件或目录名称的,例如include=main.inc或template=/en/sidebar。
第二种:常见参数
cat,dir,action,board,date,detail,file,download,path,folder,prefix
include,page,inc,locate,show,doc,site,type,view,content,document
layout,mod,conf
第三种:域名根部
根据推测这种应该是由于配置问题导致的。
www.test.com/../../../../../../../../../../../etyc/passwd
攻击技巧
通过…/ 到上一层目录
这个是最基本,最常用的。
绝对路径遍历
以下 URL 可能容易受到此攻击:
https://testsite/get.php?f=list
https://testsite/get.cgi?f=5
https://testsite/get.asp?f=test
攻击者可以像这样执行此攻击:
https://testsite/get.php?f=/var/www/html/get.php
https://testsite/get.cgi?f=/var/www/html/admin/get.inc
https:// testsite/get.asp?f=/etc/passwd
当网络服务器返回有关网络应用程序错误的信息时,攻击者更容易猜测正确的位置(例如,带有源代码的文件的路径,然后可能会显示)。
相对路径遍历
相对路径遍历见的较多
http://example.com/index.php?page=../../../etc/passwd
利用技巧
权限探测
如果可以读取以下文件,那么至少的管理员组的用户,当然前提是有administrator这个用户,没有的话,就要猜测用户了。
c:/documents and settings/administrator/ntuser.inic:/documents and settings/administrator/desktop/desktop.inic:/users/administrator/desktop/desktop.inic:/users/administrator/ntuser.ini
如果可以读取以下文件,则读取文件的进程拥有LocalSystem权限;
c:/system volume information/wpsettings.datC:/Windows/CSC/v2.0.6/pqC:/Windows/CSC/v2.0.6/smC:/$Recycle.Bin/S-1-5-18/desktop.ini
关于LocalSystem:LocalSystem是预设的拥有本机所有权限的本地账户,这个账户跟通常的用户账户没有任何关联,也没有用户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MACHINE\Security键,当LocalSystem访问网络资源时,它是作为计算机的域账户使用的。
绕过
16 位 Unicode 编码
. = %u002e
/ = %u2215
\ = %u2216
UTF-8编码
. = %c0%2e, %e0%40%ae, %c0ae
/ = %c0%af, %e0%80%af, %c0%2f
\ = %c0%5c, %c0%80%5c
UTF-7编码
UTF-7(7 位 Unicode 转换格式)是一种可变长度字符编码,
超长的 UTF-8 统一码编码
.: %c0%2e, %e0%40%ae, %c0ae
\: %c0%af, %e0%80%af, %c0%2f
/: %c0%5c, %c0%80%5c
双层url编码
. = %252e
/ = %252f
\ = %255c
非常规组合
“.”、“/”、“”,三个符号随意的组合多次(随机0-3次比较好感觉,因为看到的很多例子大概就是这样),进行绕过,如必要还可以添加其他符号进行尝试。下面是示例。也就是有点进行FUzz的意思
....//....//etc/passwd
..///....//etc/passwd
/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
..././
...\.\
..;/
%00截断
有些程序会在读取内容是添加指定后缀,使用%00可以进行截断,忽视后面的内容
http://example.com/index.php?page=../../../etc/passwd%00
PHP 修复了该问题 在版本 5.3.4 中。
"?"截断
跟上诉情况相同,在最后添加?也许同样会有效果
修复
- 限制目录访问
- 检查用户输入
参考
https://code.google.com/archive/p/teenage-mutant-ninja-turtles/wikis/AdvancedObfuscationPathtraversal.wiki