码迷,mamicode.com
首页 > Web开发 > 详细

使用 ..%2f 绕过 ../ (即使用url编码绕过)

时间:2019-12-15 16:39:33      阅读:466      评论:0      收藏:0      [点我收藏+]

标签:过滤   遍历   code   center   size   img   web应用   序列   nbsp   

 

漏洞:CVE-2018-7490

https://www.exploit-db.com/exploits/44223

uWSGI < 2.0.17 - Directory Traversal

uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。
uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 访问地址存在使用信息,存在uwsgi/php,但是没找到显示版本的地址,就盲试。

 

 

1、当使用 ../ 被过滤时,可以url 编码绕过

技术图片

 

注意:在不知道目标网站有多少级目录情况下,可以尽可能多的使用 ..%2f 即可,因为:

技术图片

使用 ..%2f 绕过 ../ (即使用url编码绕过)

标签:过滤   遍历   code   center   size   img   web应用   序列   nbsp   

原文地址:https://www.cnblogs.com/relax1949/p/12044403.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!