获课：aixuetang.xyz/23296/

目录遍历泄露与备份配置探测实战指南

在Web应用安全测试中，目录遍历（路径遍历）与备份文件泄露是极易被忽视却极具破坏力的两类漏洞。前者允许攻击者跳出Web根目录读取系统敏感文件，后者则可能直接暴露数据库密码或核心源码。掌握这两类漏洞的探测与利用技巧，是安全评估的必修课。

一、 目录遍历：突破边界与绕过过滤

当Web应用将用户输入直接拼接到文件路径中时，便产生了目录遍历漏洞。最基础的测试载荷是../（Linux）或..\（Windows）。若遇到简单的字符串替换过滤，可尝试双写绕过（如....//）；若遇到严格的WAF拦截，则需利用URL编码（如%2e%2e%2f）甚至双重URL编码进行混淆。此外，在PHP环境中，还可利用php://filter/read=convert.base64-encode/resource=等伪协议，在不执行代码的前提下读取PHP源文件。在定位目标文件时，Linux系统应优先关注/etc/passwd、环境变量/proc/self/environ以及SSH私钥等；Windows系统则瞄准C:\Windows\win.ini及IIS配置文件。

二、 任意文件下载：精准锁定高价值目标

与遍历读取类似，任意文件下载漏洞同样源于后端对参数校验不严。在实战挖掘中，应重点盯防URL中包含file、path、download、src等关键字的参数。一旦确认存在下载接口，除了尝试下载系统底层文件外，更应将矛头指向应用层的高价值目标：例如Java应用的WEB-INF/web.xml和Spring配置文件，各类中间件（Nginx、Tomcat、WebLogic）的配置项，以及包含数据库连接串的.env或config.php。通过下载Web访问日志（如access.log），还能进一步挖掘后台隐藏路径与其他潜在漏洞。

三、 备份文件探测：利用开发者的“懒惰”

由于开发者习惯在修改代码前复制一份副本，或在编辑器中自动保存临时文件，这些未被清理的残留物成为了巨大的安全隐患。在探测时，应充分利用命名规律组合字典：常见的主文件名包括wwwroot、backup、data甚至单字母a、1；后缀名则需覆盖.zip、.tar.gz、.rar（压缩包），以及.bak、.old、.txt（编辑缓存）。借助如bfac等专业工具或Burp Suite Intruder模块，结合域名变换规则进行批量爆破，往往能有意外收获。

四、 联动利用与纵深防御

在实际攻防中，单一漏洞常被用作跳板。例如，先通过日志注入写入恶意代码，再利用LFI漏洞读取日志实现代码执行；或者通过环境变量获取应用真实绝对路径，进而精准构造遍历Payload。针对这些风险，防御端必须摒弃直接拼接用户输入的恶习，采用白名单机制或基于ID的路径映射；同时，严格限制Web进程用户的文件系统权限，并在发布流水线中加入自动化扫描，彻底清除生产环境中的备份与临时文件。