常见告警信息价值提取：

源IP

大概率为代理IP，可通过威胁情报平台进行识别此IP的历史攻击行为。

源端口

参考意义不大。

目的IP

我方资产IP（可定位疑似存在漏洞的资产的具体范围）。

目的端口

我方资产IP对应端口（可通过端口辅助确认漏洞所在资产的具体范围）。

响应码

辅助确认漏洞是否攻击成功（200代表漏洞利用可能成功。4XX/5XX一般都是利用失败）。

HTTP信息：

{

"referer":"",

"x_forwarded":"",

"cookie":"",

"method":"GET",

"reservel":"",

"userAgent":"Custom-AsyncHttpClient",

表示这是一个使用自定义名称的异步HTTP客户端发出的请求。

"queryString":"lang=../../../../../../../../../tmp/index1",

"type":"6",

"regexMatch":"lang=../../../../../../../../../tmp/index1",

"url":"/index.php",

"port":"443",

"domain":"x.x.x.x",

目的IP

"host":"x.x.x.x:xx",

目的IP及端口

"proxy_ip":""

}

攻击特征：

请求内容 “../”。

漏洞解析：

以下内容中，部分摘录自https://blog.csdn.net/seanyang_/article/details/134245565

漏洞释义：

路径（目录）遍历是一种漏洞，攻击者能够 访问或存储 外部的 文件和目录（即应用程序运行文件所在的位置）。这可能会导致从非 “预设路径下” 的目录中读取文件。如果是文件，则会导致读取文件、上传文件（也可以以此覆盖关键系统文件）；简单说就是可以进行读取、更新操作 “非预设目录下的文件”。

漏洞利用原理：

例如，假设我们想请求某网站内的“report.pdf”文件，请求地址的格式为：http://example.com?file=report.pdf

现在，作为攻击者，您当然对其他文件感兴趣，所以，你尝试更改格式为：http://example.com?file=…/…/…/…/…/etc/passwd/etc/passwd/

在这种情况下（通过相对路径的方式），您尝试爬取文件系统的根目录，然后以此获取对 “其他目录下文件” 的访问权限。

利用方法为“点-点-斜杠”，这是这种攻击的另一个名称。

参考内容的参考内容：https://blog.csdn.net/qq_53079406/article/details/127140512

总结与收获：

防守方：

发现告警的请求包内的请求参数中出现 “../” 的信息后，可以借此进一步判断 漏洞类型是否为 “目录遍历漏洞”。

攻击方：

在发现请求包的参数中包含诸如 “file” 等路径类关键词后，可以尝试利用“../”的方式进行“目录遍历”操作。如果服务端没有对请求参数中的“../”做严格过滤以及校验的话，可能导致“目录遍历漏洞”的产生。