作者:暴力的西红柿 | 来源:互联网 | 2014-05-28 09:40
一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了/,才能利用成功。这是因为配置不规范造成的server{listen80;server_namesebug.net;indexindex.htmindex.html;root/home/www
一个很鸡肋的目录遍历漏洞,不知道算不算是漏洞,前提条件是必须是子目录、开启了autoindex,并且alias指定目录的时候加了"/",才能利用成功。这是因为配置不规范造成的
server {
listen 80;
server_name sebug.net;
index index.htm index.html;
root /home/wwwroot/www;
access_log off;
location /paper {
alias /home/wwwroot/paper/;
autoindex on;
}
}
注意 这里/home/wwwroot/paper/;
有个/
当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录,但是如果访问http://sebug.net/paper../,
这个的话就会遍历/home/wwwroot/这个目录了
这个要利用,很有难度。
京公网安备 11010802041100号