• Como Visualizar los Archivos de un Directorio Web ?

  • Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
Aquí se discutirán las principales técnicas usadas para auditar las aplicaciones web, técnicas como SQL Injection, XSS, CSRF, etc.
 #493757  por Scorpio
 27 Abr 2018, 23:02
Te he editado el post por lo del tamaño de letra, a parte de eso decirte que no hay una forma exacta o funcional al 100% de visualizar los archivos en un servidor web (Si no, no habria que recurrir al Pentest xD). Dicho esto, se pueden explotar varios vectores como vulnerabilidades o malas configuraciones, aquí te listo las que yo conozco.

-Path Traversal: Cuando la aplicación no valida adecuadamente y nos permite leer cualquier archivo en el mismo directorio o directorios superiores usando el tipico '../'
-Local File Inclusion: Todos lo conocen, en este caso usamos path traversal para lograr que la aplicación ejecute o evalue un archivo local.
-SQL Injection con Load_File(): A veces se puede explotar un SQLi y usar la funcion Load_File para retornar el contenido de un archivo local.

Otra que puede ayudar en la explotacion de las anteriores:
-Full Path Disclosure: Basicamente se trata de provocar cualquier error o buscarlo, de manera que en el reporte del error se muestre la ruta absoluta del a pagina.

A parte de esto siempre se puede intentar hacer bruteforce para descubrir archivos en el servidor web.

//Regards.
 #493758  por elkobexx
 28 Abr 2018, 03:26
Ok Muchísimas Gracias ,

intentare con alguno de ellos aber que tal me va ,
pero primero me dare una corta introducion para entender algunos conceptos

Otra Cosa ¿ Algún RAT Actualizado que me recomiendes ?