Shikata Ga Nai

Private? There is no such things.

Burp Suiteでローカルファイルインクルードをためしてみた

Hello there, ('ω')ノ

 

まずは、ログイン画面を。

 

f:id:ThisIsOne:20200201175816p:plain

 

Burp Suiteのログイン画面のメッセージ箇所で右クリックで『Send to Intruder』を。

 

f:id:ThisIsOne:20200201175733p:plain

 

いつものようにハイライトをクリアして。

 

f:id:ThisIsOne:20200201175908p:plain

 

ペイロードを仕掛ける箇所を選択して、『Add』ボタンで追加して。

 

f:id:ThisIsOne:20200201180023p:plain

 

今回は、下記の『Traversal.txt』を。

 https://github.com/xmendez/wfuzz/tree/master/wordlist/Injections

 

f:id:ThisIsOne:20200201180457p:plain

 

『Load』ボタンで、上記のファイルを読み込んで。

下のほうのURLのエンコードオプションは解除して。

 

f:id:ThisIsOne:20200201180734p:plain

 

最後に『Start attack』で開始。

 

f:id:ThisIsOne:20200201183033p:plain


それぞれの結果をレスポンスの『Render』タブで確認していくと。

機密情報が表示されていた。

 

f:id:ThisIsOne:20200201182935p:plain

 

Best regards, (^^ゞ