Mục Tiêu
Đọc nội dung của file /etc/passwd
Attack
Website có thể xem ảnh khi nhấn nút view
sử dụng burp suite thấy tên file đã được truyền đi khi nhấn view
Tên file không được filter
Từ những dữ kiện trên ta có thể chỉnh tên file và ra folder cha bằng cách sử dụng ../
Trong trường hợp không biết cụ thể nơi lưu file, có thể sử dụng ../ nhiều lần để quay về /
dev.to
dev.to
TheNote.app (macOS, iOS and Android apps)
2024-08-18