目录遍历漏洞

Posted 2020-11-05 tiny-fish

如果它没说下面那句话就是目录遍历

目录遍历就是说把目录全部暴露了

就是如果服务器配置不安全，会导致目录遍历漏洞

用google hacking语法

site:edu.cn index of /

 

 

这种不是，这种ftp开头的 是大学用来分享文件的

 

 

这个是，这个目录下文件都可以看到

 

然后我们点开一个 是一个正常的页面

 

这个20011105目录没有设置好权限,导致可以目录遍历

 

这种也不算，因为很明显这是学校为了方便下载资料用的

 

mirror代表镜像，mirror开头的是大学用来分享资料的

 

记住一个基本特征  正常的网页文件，那个目录应该包含有以下文件

html  jpg  php

找到了一个嘿嘿嘿

 

 

再加一个参数

site:edu.cn index of /jpg

这样出来的就基本都是啦

 

 

总结：

怎么找目录遍历漏洞

利用google hacking语法 site:edu.cn index of /

会有很多ftp 开头的 mirror开头的

或者结果里有centos ubuntu debian字样的

都是大学提供linux镜像的

本身是提供给学校师生进行资料分享的

这些都不是真正的目录遍历

只有那些 暴露网页正常文件 jpg html php 目录的才算

site:edu.cn index of / jpg

比如这样搜索的结果

http://gattaca.nju.edu.cn/images/

http://tymg.jsahvc.edu.cn/upload/