Estoy intentando realizar un Path Traversal en una web muy simple solo con fines educativos.
Lo que tengo que hacer es acceder a un archivo llamado passwords.txt
ubicado en \files\private\admin\passwords.txt
, estoy en \files\public\
y los parámetros de la URL son los siguientes:
/download.php?folder=&file=&action=download
La ruta se construye concatenando los valores de los parámetros folder
y file
a la ruta \files\public\
. Ninguno de ellos es vulnerable a la inyección SQL de acuerdo con SQLMap, ni action
. Así que, si pongo:
/download.php?folder=private\admin\&file=passwords.txt&action=download
La ruta resultante será \files\public\private\admin\passwords.txt
He intentado el truco más simple como poner \..\
(en texto sin formato y en forma de URL codificada) para acceder a la carpeta principal, pero no está permitido introducir ..
.
Entonces, supongo que debo omitir el mecanismo de seguridad implementado en la base de datos que inyecta la ruta \files\public\
si quiero acceder a ese archivo (DBMS es MySQL).
¿Es posible eliminar la parte \public\
de la ruta usando comentarios con #
u otra forma para que finalmente pueda acceder al directorio private
?