ecs-lecture
/
hacking
2
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
hacking/gruyere-writing-file.md

1.0 KiB
Raw Permalink Blame History

Datei auf Server verändern

Ziel

Ziel ist es, die Datei secret.txt aus der Übung zu Directory-Traversal mit einem beliebigen Inhalt zu überschreiben. Um diesen Angriff durchzuführen, wird ein weiterer Directory-Traversal-Angriff durchgeführt.

Voraussetzungen

  • Webbrowser (z.B. Chrome oder Firefox)
  • Text-Editor
  • Gruyere ist verfügbar (siehe Anleitung)

Übung

  1. Erzeugen Sie eine Textdatei mit dem Namen secret.txt und einem beliebigen Inhalt. Speichern Sie diese Datei auf Ihrem Rechner.
  2. Schauen Sie sich die Upload-Funktionalität von Gruyere genauer an. Betrachten Sie insbesondere, wie der Pfad für die Datei konstruiert wird, die man hochladen möchte.
  3. Verwenden Sie dieses Wissen, um Ihre Version der Datei secret.txt hochzuladen und die auf dem Server vorhandene Version zu ersetzen.
  4. Verwenden Sie den bereits durchgeführten Directory-Traversal-Angriff, um zu überprüfen, ob Sie erfolgreich waren.