[PortSwigger Web Security Academy]Lab: File path traversal, simple case write up

문제 정보

This lab contains a file path traversal vulnerability in the display of product images.

To solve the lab, retrieve the contents of the /etc/passwd file.

문제

lab에 들어가면 가상 shop 사이트가 나온다.

분석

제품 이미지에 file path traversal 취약점이 있다.
목표
/etc/passwd 파일을 검색한다.

일단 제품 이미지에 file path traversal이 있다고 하니까, 먼저 burpsuite를 켜고 아무 제품이나 들어간 다음 image가 get이 될 때 repeater로 보낸다.

그리고 filename 뒤에 ../../../../../etc/passwd를 넣고, send를 보낸다.. 그러면 /etc/passwd 파일을 볼 수 있다.

/etc/passwd파일을 검색했기 때문에 문제가 풀린다.