hacking/gruyere-writing-file.md

19 lines
1.0 KiB
Markdown

# Datei auf Server verändern
## Ziel
Ziel ist es, die Datei `secret.txt` aus der Übung zu [Directory-Traversal](gruyere-directory.md) mit einem beliebigen Inhalt zu überschreiben. Um diesen Angriff durchzuführen, wird ein weiterer Directory-Traversal-Angriff durchgeführt.
## Voraussetzungen
* Webbrowser (z.B. Chrome oder Firefox)
* Text-Editor
* Gruyere ist verfügbar (siehe [Anleitung](vorbereitung.md))
## Übung
1. Erzeugen Sie eine Textdatei mit dem Namen `secret.txt` und einem beliebigen Inhalt. Speichern Sie diese Datei auf Ihrem Rechner.
2. Schauen Sie sich die Upload-Funktionalität von Gruyere genauer an. Betrachten Sie insbesondere, wie der Pfad für die Datei konstruiert wird, die man hochladen möchte.
3. Verwenden Sie dieses Wissen, um Ihre Version der Datei `secret.txt` hochzuladen und die auf dem Server vorhandene Version zu ersetzen.
4. Verwenden Sie den bereits durchgeführten [Directory-Traversal-Angriff](gruyere-directory.md), um zu überprüfen, ob Sie erfolgreich waren.