Mục Tiêu
- Chiếm quyền điều khiển server và đọc một tập tin bí mật ở thư mục gốc (đường dẫn /)
Attack
- Website cho phép upload và đặt tên album
- Nhấn download để read file
- File sẽ được lưu trong thư mục document_root/upload/2_hex/album_name/file_name
- Tên album không có bất kì filtering nào có thể dẫn đến path traversal
Khi upload file, php sẽ tự động bỏ đi ../ trong file name để tránh path traversal
Từ dữ liệu trên chỉ cần thay đổi album name thành ../../ giúp lùi về document_root sau đó upload file php -> có thể RCE
Top comments (0)