Web安全-目录遍历漏洞

文章目录
前言
漏洞简述
漏洞分析
漏洞挖掘
攻击变异
漏洞防范
总结
前言
先上一张图看看什么是目录遍历漏洞：

对，目录遍历就长成这样子。

一般遇到目录遍历漏洞，我们常做的就是去寻找有价值的东西去下载，比如数据库：

一般是没有i ndex.php 就可能出现像这样的一个目录遍历的漏洞，但是一般情况下 index 文件都会有的。

那么怎么去找目录遍历漏洞，一般是输入到文件目录，看页面响应。比如站点上的一张图片的的连接为：http://192.168.24.190/Images/185_01.jpg，我们把图片删除，只保留目录：http://192.168.24.190/Images/，最后浏览器看看：
那这样子就是存在目录遍历漏洞。

漏洞简述
漏洞描述

目录浏览漏洞是由于网站存在配置缺陷，存在目录可浏览漏洞，这会导致网站很多隐私文件与目录泄露，比如数据库备份文件、配置文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。

风险分析

攻击者通过访问网站某一目录时，该目录没有默认首页文件或没有正确设置默认首页文件，将会把整个目录结构列出来，将网站结构完全暴露给攻击者； 攻击者可能通过浏览目录结构，访问到某些隐秘文件（如PHPINFO文件、服务器探针文件、网站管理员后台访问地址、数据库连接文件等）。

风险等级

高危：目录可以浏览，泄露包含密码、个人信息等敏感文件。
低危：目录可以浏览，未泄露包含密码、个人信息等敏感文件。
漏洞分析
目前许多的 Web 应用程序一般会有对服务器的文件读取查看的功能，大多会用到提交的参数来指明文件名，形如：http://www.nuanyue.com/getfile=image.jgp。当服务器处理传送过来的 image.jpg 文件名后，Web应用程序即会自动添加完整路径，形如“d://site/images/image.jpg”，将读取的内容返回给访问者。

初看，在只是文件交互的一种简单的过程，但是由于文件名可以任意更改而服务器支持“~/”，“/..”等特殊符号的目录回溯，从而使攻击者越权访问或者覆盖敏感数据，如网站的配置文件、系统的核心文件，这样的缺陷被命名为路径遍历漏洞。在检查一些常规的Web应用程序时，也常常有发现，只是相对隐蔽而已。

路径遍历漏洞的发现，主要是对 Web 应用程序的文件读取交互的功能块，进行检测，面对这样的读取方式：“http://www.nuanyue.com/test/downfile.jsp?filename=fan.pdf”。我们可以使用 “../”来作试探，比如提交Url：“getfile=/fan/fan/53.pdf”，而系统在解析是“d://site/test/pdf/fan/fan/../../53.pdf”，通过“../”跳转目录“/fan”，即“d://site/test/pdf/*53.pdf”，返回了读取文件的正常的页面。

路径遍历漏洞隐藏一般在文件读取或者展示图片功能块这样的通过参数提交上来的文件名，从这可以看出来过滤交互数据是完全有必要的。恶意攻击者当然后会利用对文件的读取权限进行跨越目录访问，比如访问一些受控制的文件，“../../../../../../../etc/passwd”或者“../../../../boot.ini”，当然现在部分网站都有类似 Waf 的防护设备，只要在数据中会有/etc /boot.ini等文件名出直接进行拦截。

漏洞挖掘
挖掘目录遍历漏洞有几种方法;

可以利用 Web 漏洞扫描器扫描 Web 应用进行检测；
可以在测试时去掉文件名，只访问目录路径；
也可通过搜索引擎搜索，网站标题包含 “index of” 关键词的网站进行访问。
以下是使用百度搜索引擎搜索语法搜索出来的存在目录遍历的站点：
随便打开一个看看……

攻击变异
路径遍历漏洞是很常见的，在 Web 应用程序编写过程，会有意识的对传递过来的参数进行过滤或者直接删除，存在风险的过滤方式，一般可以采用如下方式进行突破：

以下是一些绕过的方法，当然在实际运行过程中，可以组合使用。

(1) 加密参数传递的数据

在Web应用程序对文件名进行加密之后再提交，比如：“downfile.jsp?filename=ZmFuLnBkZg- ”，在参数 filename 用的是 Base64 加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交即可。所以说，采用一些有规律或者轻易能识别的加密方式，也是存在风险的。

(2) 编码绕过

尝试使用不同的编码转换进行过滤性的绕过，比如Url编码，通过对参数进行Url编码提交，“downfile.jsp?filename=%66%61%6E%2E%70%64%66”来绕过。

(3) 目录限定绕过

在有些 Web 应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的，攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交 “downfile.jsp?filename=~/../boot”。通过这样一个符号，就可以直接跳转到硬盘目录下了。

(4) 绕过文件后缀过滤

一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者可以在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。例如：../../../../boot.ini%00.jpg，Web 应用程序使用的 Api 会允许字符串中包含空字符，当实际获取文件名时，则由系统的 Api 会直接截短，而解析为“../../../../boot.ini”。在类 Unix 的系统中也可以使用 Url 编码的换行符，例如：../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名，会截短为文件名。也可以尝试%20，例如:../../../index.jsp%20。

(5) 绕过来路验证

在一些 Web 应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法可以尝试通过在网站留言或者交互的地方提交 Url 再点击或者直接修改 Http Referer 即可，这主要是原因 Http Referer 是由客户端浏览器发送的，服务器是无法控制的，而将此变量当作一个值得信任源是错误的。

漏洞防范
目前存在该漏洞的常见中间件为 Apache 和 IIS，以下列出其相关的修复方式：

IIS 中关闭目录浏览功能：在 IIS 的网站属性中，勾去“目录浏览”选项，重启 IIS。
Apache 中关闭目录浏览功能：打开 Apache 配置文件 httpd.conf，查找“Options Indexes FollowSymLinks”，修改为 “ Options -Indexes FollowSymLinks” (减号表示取消），保存退出，重启Apache。
Nginx 中默认不会开启目录浏览功能，若您发现当前已开启该功能，可以编辑 nginx.conf 文件，删除如下两行：autoindex on;autoindex_exact_size on;，然后重启Nginx。
下面演示下 Apache 站点的漏洞修复：

1、首先是用 PhpStudy + 2003 服务器搭建的环境，然后再网站更目录下创建了许多的文件夹：
2、这个时候访问网站的目录就可以造成目录遍历：

3、在 httpd.conf 文件中找到 Options + Indexes + FollowSymLinks + ExecCGI 并修改 + Indexes 为 - Indexes：

4、这个时候就不会存在目录遍历漏洞了！

总结
路径遍历漏洞允许恶意攻击者突破 Web 应用程序的安全控制，直接访问攻击者想要的敏感数据，包括配置文件、日志、源代码等，配合其它漏洞的综合利用，攻击者可以轻易的获取更高的权限，并且这样的漏洞在发掘上也是很容易的，只要对Web应用程序的读写功能块直接手工检测，通过返回的页面内容来判断，是很直观的，利用起来也相对简单。
————————————————

                        版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_39190897/article/details/103589535