使用 ..%2f 绕过 ../ (即使用url编码绕过)

 

漏洞:CVE-2018-7490

https://www.exploit-db.com/exploits/44223

uWSGI < 2.0.17 - Directory Traversal

uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议。 uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。
uWSGI 2.0.17之前版本中存在路径遍历漏洞,该漏洞源于程序没有正确的处理DOCUMENT_ROOT检测。攻击者可通过发送带有‘…’序列的特制URL请求利用该漏洞查看系统上的任意文件。 访问地址存在使用信息,存在uwsgi/php,但是没找到显示版本的地址,就盲试。

 

 

1、当使用 ../ 被过滤时,可以url 编码绕过

 

注意:在不知道目标网站有多少级目录情况下,可以尽可能多的使用 ..%2f 即可,因为:

posted @ 2019-12-15 15:51  relax.1949  阅读(2976)  评论(0编辑  收藏  举报