Lab: File path traversal, traversal sequences blocked with absolute path bypass

Mô tả

Phòng thí nghiệm này chứa lỗ hổng path traversal trong việc hiển thị hình ảnh sản phẩm. Ứng dụng chặn các chuỗi duyệt nhưng coi tên tệp được cung cấp là tương đối với thư mục làm việc mặc định.

Mục tiêu: Lấy nội dung tệp /etc/passwd

Giải pháp

Duyệt tuần tự với GET request hiển thị hình ảnh sản phẩm

Sử dụng đường dẫn tuyệt đối /etc/passwd

PreviousLab: File path traversal, simple case NextLab: File path traversal, traversal sequences stripped non-recursively

Last updated 10 months ago