DEV Community

Peppa
Peppa

Posted on

CBJS: Path Traversal 1

Mục Tiêu

  • Đọc nội dung của file /etc/passwd

Attack

  • Website có thể xem ảnh khi nhấn nút view

Image description

  • sử dụng burp suite thấy tên file đã được truyền đi khi nhấn view
    Image description

  • Tên file không được filter

Image description

Từ những dữ kiện trên ta có thể chỉnh tên file và ra folder cha bằng cách sử dụng ../

  • Trong trường hợp không biết cụ thể nơi lưu file, có thể sử dụng ../ nhiều lần để quay về /

Image description

Top comments (0)