19 lines
1.0 KiB
Markdown
19 lines
1.0 KiB
Markdown
|
# Datei auf Server verändern
|
||
|
|
|
||
|
|
## Ziel
|
||
|
|
|
||
|
|
Ziel ist es, die Datei `secret.txt` aus der Übung zu [Directory-Traversal](gruyere-directory.md) mit einem beliebigen Inhalt zu überschreiben. Um diesen Angriff durchzuführen, wird ein weiterer Directory-Traversal-Angriff durchgeführt.
|
||
|
|
|
||
|
|
## Voraussetzungen
|
||
|
|
|
||
|
|
* Webbrowser (z.B. Chrome oder Firefox)
|
||
|
|
* Text-Editor
|
||
|
|
* Gruyere ist verfügbar (siehe [Anleitung](vorbereitung.md))
|
||
|
|
|
||
|
|
## Übung
|
||
|
|
|
||
|
|
1. Erzeugen Sie eine Textdatei mit dem Namen `secret.txt` und einem beliebigen Inhalt. Speichern Sie diese Datei auf Ihrem Rechner.
|
||
|
|
2. Schauen Sie sich die Upload-Funktionalität von Gruyere genauer an. Betrachten Sie insbesondere, wie der Pfad für die Datei konstruiert wird, die man hochladen möchte.
|
||
|
|
3. Verwenden Sie dieses Wissen, um Ihre Version der Datei `secret.txt` hochzuladen und die auf dem Server vorhandene Version zu ersetzen.
|
||
|
|
4. Verwenden Sie den bereits durchgeführten [Directory-Traversal-Angriff](gruyere-directory.md), um zu überprüfen, ob Sie erfolgreich waren.
|