dotdotslash — инструмент, который поможет вам найти уязвимости, связанные с переходом по каталогам — Information Security Squad

dotdotslash — инструмент, который поможет вам найти уязвимости, связанные с переходом по каталогам

Исходные ориентиры

Платформы, которые были протестированы для проверки эффективности инструмента:

  • DVWA (low/medium/high)
  • bWAPP (low/medium/high)

Скриншоты

Установка

Вы можете загрузить последнюю версию, клонировав этот репозиторий

 # git clone https://github.com/jcesarstef/dotdotslash/ 

Этот инструмент был создан для работы с Python3

Использование

# python3 dotdotslash.py --help
usage: dotdotslash.py [-h] --url URL --string STRING [--cookie COOKIE]
[--depth DEPTH] [--verbose]

dot dot slash - A automated Path Traversal Tester. Created by @jcesrstef.

optional arguments:
-h, --help show this help message and exit
--url URL, -u URL Url to attack.
--string STRING, -s STRING
String in --url to attack. Ex: document.pdf
--cookie COOKIE, -c COOKIE
Document cookie.
--depth DEPTH, -d DEPTH
How deep we will go?
--verbose, -v Show requests 

Пример

 # python3 dotdotslash.py \
--url "http://192.168.58.101/bWAPP/directory_traversal_1.php?page=a.txt" \
--string "a.txt" \
--cookie "PHPSESSID=089b49151627773d699c277c769d67cb; security_level=3" 

Скачать dotdotslash

¯\_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40