当您只能读取文件时

如果您能够读取Windows Server 2003系统上的任何文件，您会读取什么？为了让问题更具挑战性，如果您无法进行目录列表，必须在读取之前知道文件存在，该怎么办？

我在一次测试中遇到了这种情况，发现了一个存在目录遍历攻击的Web服务器，允许我读取任何文件，但没有提供任何列出存在文件的方法。我最初通过标准的boot.ini和win.ini文件来证明我有访问权限，但随后想获取更有价值的内容。通常，在有目录索引的情况下，我会浏览用户主目录并凭直觉引导，但在这种盲目的情况下，我需要专注于我知道会存在的文件。

该Web服务器是专有的，属于控制系统应用程序的一部分，我无法找出正确的路径来尝试读取源代码。虽然安装了IIS，但只显示默认的“Under Construction”页面，因此无法通过Web应用程序进一步利用。此时我时间用尽，转向下一个目标，至少高兴地证明了漏洞的存在。

我知道有一些列表用作LFI（本地文件包含）的一部分，但对Web应用程序运行暴力列表不够隐蔽；我更喜欢外科手术式地选择目标文件，尽可能减少噪音和痕迹。

为了下次更有准备，我在PaulDotCom邮件列表中征求建议，另一个人则开始了第二个线程，询问如果是Linux系统，您会寻找什么？两者都得到了一些很好的答案，因此我决定记录结果。如果有人有其他建议，请告诉我，我会更新列表。感谢所有贡献者。

Windows

与其尝试列出密码文件位置的冗长列表，我首先向您推荐NirSoft网站上的一个列表，其中包含许多应用程序的信息。NirSoft - 流行Windows应用程序的密码存储位置。

有人建议了以下论文：Dan Crowley的《Windows文件伪名》。我认为这在我的情况下没有帮助，但其中有一些很好的参考资料，涉及常见文件和位置的不同寻址方式，如果读取访问不直接，可能会有所帮助。

常见Web应用程序文件：

c:\inetpub\wwwroot\index.asp - 以及其他常见变体，还要检查您可以浏览到的任何其他文件。
您遍历的每个目录中的web.config
c:\windows\system32\logfiles\httperr\httperr1.log
c:\system32\inetsrv\Metabase.xml

.NET框架文件 - 检查c:\windows\microsoft.net\framework中的不同版本。

权限快速检查，如果您可以读取这些文件，表明您可以读取由Administrator拥有的文件：

c:\documents and settings\administrator\ntuser.ini
c:\documents and settings\administrator\desktop\desktop.ini

Linux

SSH密钥 - 您可以尝试root用户，但如果您进行了用户枚举，则可能还可以检查他们的主目录。您要查找的文件都在.ssh目录中：

authorized_keys
id_rsa
id_rsa.keystore
id_rsa.pub
known_hosts

如果您成功获取known_hosts文件，可以使用XME的这个工具来解码 - Bruteforcing SSH Known_Hosts Files。

类似于上述，但这次是GnuPG文件，同样，所有这些都在.gnupg目录中：

gpg.conf
pubring.gpg
pubring.gpg~
random_seed
secring.gpg
trustdb.gpg

proc中的一些条目可能有用：

/proc/mounts
/proc/config.gz
/proc/self/fd/fd[0-9]*

用户主目录中的其他内容：

.bash_history
.mysql_history
.my.cnf

支持网站

我没有从这个网站的任何项目中获得报酬，因此如果您想支持我的工作，可以通过使用下面的联盟链接来实现，我可以获得账户积分或现金返还。通常只有几分钱，但它们都会累积起来。

请给我买一杯冰沙。

所有内容由Robin Wood创建，除非另有说明。

Windows与Linux系统文件读取漏洞利用指南

本文探讨了在Windows Server 2003系统中通过目录遍历漏洞读取文件的技术细节，包括常见敏感文件位置、Linux系统密钥文件获取方法，以及如何在无法目录列表的情况下精准定位目标文件。

当您只能读取文件时

Windows

Linux

最近存档

支持网站