文章来源：https://cloud.tencent.com/developer/news/60212

一.漏洞描述

目录遍历是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞，使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制，访问任意的文件（可以是web根目录以外的文件），甚至执行系统命令。

二.漏洞成因

程序在实现上没有充分过滤用户输入的../之类的目录跳转符，导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

三.漏洞利用

常见目录遍历：

0x01 Unix目录遍历攻击

通用的类Unix系统的目录遍历攻击字符串形如“../”。

0x02 Windows操作系统目录遍历攻击

对于微软的Windows操作系统以及DOS系统的目录结构，攻击者可以使用“../”或者“..”字符串。

在这种操作系统中，每个磁盘分区有一个独立的根目录（比如我们会把个人电脑分区成“C盘”、“D盘”等等），并且在所有磁盘分区之上没有更高级的根目录。这意味着Windows系统上的目录遍历攻击会被隔离在单个磁盘分区之内（C盘被攻击，D盘不受影响）。

0x03 URI编码形式的目录遍历攻击

一些网络应用会通过查询危险的字符串，例如：- ..- ..- ../

来防止目录遍历攻击。然而，服务器检查的字符串往往会被URI编码。因此这类系统将无法避免如下形式的目录遍历攻击：

• %2e%2e%2f：解码为../




• %2e%2e/：解码为../




• ..%2f：解码为../



• %2e%2e%5c：解码为..
  

0x04 Unicode/UTF-8编码形式的目录遍历攻击

UTF-8编码被Bruce Scheneier和Jeffery Streifling标记为一种易受攻击的资源。

当微软向他们的Web服务增加Unicode支持时，一种新的编码方式——“../”被引入，也正是这一举动最终引入了目录遍历攻击。

许多带百分号的编码方式，例如：- %c1%1c- %c0%af 被转换成“/”或“”字符。

百分号编码字符被微软提供的Web服务解码成相应的8字节字符。正式由于Windows和DOS使用基于ASCII的8字节标准编码方式，这个行为在历史上一度被认为是正确的。

然而，UTF-8本身的源头并非标准化。许多字符串甚至根本就没有对应的编解码字符。微软通过其他一些方式，最终没有使用标准化的编解码方式。许多奇怪的百分号编码形式，例如“%c0%9v”也被引入。

0x05 Zip/归档文件目录遍历攻击

形如zip这样的归档文件格式也允许目录遍历攻击：就像回溯文件系统一样，在归档文件中的任何文件也会被重写。我们可以编写出查看归档文件内部文件路径的代码来。

目录遍历变异：

路径遍历漏洞是很常见的，在Web应用程序编写过程，会有意识的对传递过来的参数进行过滤或者直接删除，存在风险的过滤方式，一般可以采用如下方式进行突破：

0x01 加密参数传递的数据

在Web应用程序对文件名进行加密之后再提交，比如：“downfile.jsp?filename= ZmFuLnBkZg- “，在参数filename用的是Base64加密，而攻击者要想绕过，只需简单的将文件名加密后再附加提交即可。所以说，采用一些有规律或者轻易能识别的加密方式，也是存在风险的。

0x02 编码绕过

尝试使用不同的编码转换进行过滤性的绕过，比如Url编码，通过对参数进行Url编码提交，“downfile.jsp?filename= %66%61%6E%2E%70%64%66“来绕过。

0x03 目录限定绕过

在有些Web应用程序是通过限定目录权限来分离的。当然这样的方法不值得可取的，攻击者可以通过某些特殊的符号“~“来绕过。形如这样的提交“downfile.jsp?filename=~/../boot”。能过这样一个符号，就可以直接跳转到硬盘目录下了。

0x04 绕过文件后缀过滤

一些Web应用程序在读取文件前，会对提交的文件后缀进行检测，攻击者可以在文件名后放一个空字节的编码，来绕过这样的文件类型的检查。

例如：../../../../boot.ini%00.jpg，Web应用程序使用的Api会允许字符串中包含空字符，当实际获取文件名时，则由系统的Api会直接截短，而解析为“../../../../boot.ini”。

在类Unix的系统中也可以使用Url编码的换行符，例如：../../../etc/passwd%0a.jpg如果文件系统在获取含有换行符的文件名，会截短为文件名。也可以尝试%20，例如: ../../../index.jsp%20

0x05 绕过来路验证

Http Referer : HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的

在一些Web应用程序中，会有对提交参数的来路进行判断的方法，而绕过的方法可以尝试通过在网站留言或者交互的地方提交Url再点击或者直接修改Http Referer即可，这主要是原因Http Referer是由客户端浏览器发送的，服务器是无法控制的，而将此变量当作一个值得信任源是错误的。

四.漏洞防御

在防范目录遍历漏洞的方法中，最有效的是权限的控制，谨慎的处理向文件系统API传递过来的参数路径。主要是因为大多数的目录或者文件权限均没有得到合理的配置，而Web应用程序对文件的读取大多依赖于系统本身的API，在参数传递的过程，如果没有得严谨的控制，则会出现越权现象的出现。在这种情况下，Web应用程序可以采取以下防御方法，最好是组合使用。

对用户的输入进行验证，特别是路径替代字符“../”

尽可能采用白名单的形式，验证所有输入

合理配置web服务器的目录权限

程序出错时，不要显示内部相关细节