目录遍历漏洞实战：从原理到防御的完整攻防指南

1. 项目概述：从“路径穿越”到“数据泄露”的实战演练

在网络安全领域，目录遍历漏洞（Directory Traversal）是一个看似简单却极具破坏力的经典漏洞。它不像SQL注入那样需要复杂的逻辑构造，也不像缓冲区溢出那样涉及底层内存操作，但它却能像一把万能钥匙，让攻击者绕过应用设定的访问边界，直接读取服务器上的任意文件。我见过太多因为一个简单的路径拼接疏忽，导致配置文件、数据库凭证甚至源代码被“一览无余”的案例。今天，我们就来亲手复现这个漏洞，目的不是为了攻击，而是为了深刻理解其原理、掌握其利用手法，并最终学会如何在自己的代码中彻底堵上这个安全缺口。无论你是刚入门的安全爱好者，还是希望提升代码安全性的开发者，这篇从原理到实战、再到防御的深度解析，都将为你提供一套完整的“攻防”思维训练。

2. 漏洞原理深度剖析：为什么“../”能成为攻击武器？

2.1 核心机制：路径控制的失效

目录遍历漏洞的本质，是应用程序未能对用户输入的文件路径参数进行充分的安全校验和净化，导致攻击者可以利用路径遍历字符序列（如../或..\）跳出预期的目录限制，访问到应用根目录之外的文件系统。

想象一下，一个正常的文件下载或查看功能，其逻辑是这样的：用户请求http://example.com/view?file=report.pdf，后端代码接收到file=report.pdf参数，将其与一个基础目录拼接，形成绝对路径/var/www/html/uploads/report.pdf，然后读取并返回该文件。这里的“基础目录”是开发者设定的安全边界。

漏洞就出现在“拼接”这一步。如果开发者天真地认为用户只会输入文件名，那么当攻击者提交file=../../../etc/passwd时，拼接后的路径就变成了/var/www/html/uploads/../../../etc/passwd。在操作系统的路径解析中，../表示上级目录，经过规范化（Canonicalization）后，路径实际等价于/etc/passwd。于是，本应被限制在uploads目录内的访问，直接穿越到了系统的关键配置文件。

2.2 关键点解析：编码、空字节与绝对路径

在实际攻击中，攻击者会使用各种技巧来绕过可能存在的简单过滤：

1. URL编码绕过：许多Web应用框架或中间件会自动对URL进行解码。攻击者可以将../编码为%2e%2e%2f或..%2f等。如果过滤逻辑只在解码前检查../字符串，就会被绕过。
2. 空字节注入：在旧版PHP等语言中，%00（空字节）会被视为字符串的终止符。如果过滤函数在处理路径后，系统文件操作函数（如fopen）仍会读取空字节前的部分，就可能被利用。例如：file=../../../etc/passwd%00.jpg，过滤逻辑可能只检查后缀.jpg是合法的，但fopen读到%00就停止了，最终访问的是/etc/passwd。
3. 绝对路径利用：如果程序逻辑是直接使用用户输入，或者基础目录拼接为空，攻击者甚至可以直接输入绝对路径，如file=/etc/passwd。
4. 操作系统差异：Windows和Linux的路径分隔符和特性不同（\vs/， 盘符等），在跨平台应用或特定服务中，可能需要尝试不同的载荷。

注意：空字节注入在现代PHP版本（>=5.3.4）及多数其他语言运行时中已得到有效修复，但在分析老旧系统或特定服务时，它仍是一个重要的历史攻击思路。

2.3 漏洞危害：不仅仅是文件读取

虽然最常见的利用是读取敏感文件（如/etc/passwd,/proc/self/environ, 网站配置文件config.php,.git/目录等），但其危害远不止于此：

• 源代码泄露：获取.php,.java等源码，便于进行白盒审计，发现更深的漏洞。
• 敏感数据泄露：读取数据库连接配置文件，直接导致数据库沦陷。
• 攻击跳板：在某些特定条件下，如果应用具有写权限，结合遍历漏洞可能实现文件上传，甚至写入Webshell。
• 信息收集：读取/proc/下的系统信息，为后续攻击做准备。

3. 靶场环境搭建与漏洞复现实操

理论讲得再多，不如亲手操作一遍。我们选择两个极具代表性的靶场进行复现：一个是专为Web漏洞练习设计的Pikachu，另一个是综合性的在线演练平台CTFHub上的相关题目。通过它们，你能感受到漏洞在不同场景下的“手感”。

3.1 环境准备：让漏洞“活”起来

首先，你需要一个可控的测试环境。强烈建议在虚拟机（如VMware或VirtualBox）中操作。

1. 安装PHP集成环境：推荐使用PHPStudy（Windows）或XAMPP（跨平台）。它们一键集成了Apache、PHP、MySQL，省去大量配置时间。下载安装后，确保服务能正常启动。
2. 部署Pikachu靶场：
   • 从GitHub或相关资源站下载Pikachu的源码压缩包。
   • 将其解压到PHPStudy的WWW目录（例如D:\phpstudy_pro\WWW\）或XAMPP的htdocs目录。
   • 在浏览器访问http://localhost/pikachu/，按照页面提示初始化数据库即可。
3. CTFHub技能树：访问CTFHub官网，注册账号后，在“技能树”或“挑战”栏目中搜索“目录遍历”，通常会找到对应的在线题目环境，开箱即用。

3.2 复现一：Pikachu靶场中的目录遍历

Pikachu的目录遍历漏洞模块设计得非常直观，适合新手理解。

1. 访问漏洞页面：启动PHPStudy，在浏览器中进入http://localhost/pikachu/vul/dir/dir_list.php。
2. 观察功能点：页面通常提供一个文件下载或查看链接，例如“点击下载README”或“查看某个文件”。其URL可能类似于http://localhost/pikachu/vul/dir/dir_list.php?file=readme.txt。
3. 基础测试：直接修改URL中的file参数，尝试输入../../../。例如：...php?file=../../../phpStudy/MySQL/my.ini。观察页面是否返回了MySQL的配置文件内容。
4. 系统文件读取：尝试经典的Payload：
   • ../../../../../../etc/passwd(Linux系统)
   • ../../../../../../windows/win.ini(Windows系统，路径深度需尝试) 在PHPStudy的Windows环境下，你可能需要更多层../才能跳转到系统盘根目录。
5. 编码绕过尝试：如果直接使用../被拦截或无效，尝试URL编码：
   • 将../替换为%2e%2e%2f或..%2f。
   • 尝试双重编码：%252e%252e%252f（%25是%的编码）。
6. 空字节注入尝试（历史学习）：虽然新环境可能无效，但可以测试：readme.txt%00或../../../etc/passwd%00.jpg，观察响应差异。

实操心得：在Pikachu中，漏洞点往往没有任何过滤，是最“纯净”的遍历漏洞。复现时，重点感受路径跳转的计算。在Windows下，你需要猜测Web根目录到目标文件的相对深度，这是一个“试错”过程。我常用的技巧是先尝试读取一个已知的、位于Web目录内的文件（比如../../index.php），通过返回内容判断跳转层数是否正确，再逐步向外探索。

3.3 复现二：CTFHub技能树-目录遍历

CTFHub的题目更贴近实战和CTF比赛，通常会增加一些简单的过滤机制。

1. 进入题目：在CTFHub找到目录遍历题目并启动实例。
2. 信息收集：访问提供的目标URL。页面可能是一个简单的文件列表或下载链接。首先查看网页源代码，看是否有注释提示。然后尝试点击正常链接，观察URL参数变化，通常是file=、filename=或path=。
3. Fuzz测试：使用浏览器插件（如HackBar）或Burp Suite的Repeater模块，方便地修改和重放请求。
   • 基础遍历：发送GET /?file=../../../../etc/passwd。
   • 常见过滤绕过：
     • 关键词过滤：如果发现../被置空或拒绝，尝试....//。有些简单的过滤只替换一次，....//在替换掉中间的../后，会剩下../。也可以尝试..\/（反斜杠）。
     • 目录起始限制：如果要求参数以某个目录开头，如file=downloads/+ 用户输入。可以尝试file=downloads/../../../etc/passwd，只要最终拼接的路径能跳出即可。
     • 后缀限制：如果要求文件名以.txt结尾，尝试../../../etc/passwd%00.txt（空字节）或../../../etc/passwd?.txt（?在部分环境中会被视为参数截断）。
4. 获取Flag：CTF题目的目标是找到隐藏的Flag（一串特定字符串）。成功遍历后，你需要猜测或探索Flag文件的位置。常见位置包括：/flag、/flag.txt、/home/ctf/flag，或者读取当前目录下的其他提示文件。

提示：在CTF中，如果直接遍历系统文件无效，不妨考虑读取Web应用自身的文件，比如index.php源码，里面可能包含数据库配置或提示下一个步骤的线索。

3.4 工具辅助：使用Burp Suite进行高效测试

手动修改URL效率低，且不便于观察响应细节。使用Burp Suite的Repeater和Intruder模块可以极大提升效率。

1. 配置代理：浏览器设置代理为127.0.0.1:8080，并安装Burp的CA证书。
2. 抓包：在Burp中开启拦截（Intercept is on），在浏览器中触发一次正常的文件请求。
3. 发送到Repeater：将抓到的HTTP请求包右键发送到Repeater。
4. 手动测试：在Repeater中修改file参数，多次发送不同的Payload，对比响应内容、状态码和长度。
5. 使用Intruder进行Fuzzing：对于需要尝试大量Payload（如不同层数的../、各种编码变体）的情况，使用Intruder。
   • 将file参数值标记为攻击点。
   • 在Payloads选项卡中，加载一个包含常见目录遍历Payload的字典文件。
   • 开始攻击，通过响应长度或状态码的差异，快速识别出成功的Payload。

注意事项：使用工具时，务必在授权靶场内进行。Burp Intruder的暴力测试可能会产生大量请求，对线上靶场要遵守规则，避免滥用。

4. 漏洞挖掘与手动利用技巧

复现已知漏洞是学习的第一步，而能从黑盒或灰盒角度发现未知的目录遍历漏洞，才是真正的能力提升。这需要一套系统的思路和方法。

4.1 漏洞点发现：在哪里寻找入口？

目录遍历漏洞常出现在任何使用文件路径参数的功能点：

1. 文件读取/下载/查看功能：如图片预览、文档下载、日志查看、附件下载等。参数名如file,filename,path,url,document,image。
2. 文件包含功能：include(),require()等函数使用的参数，虽然通常归类为“文件包含漏洞”，但其利用方式与目录遍历高度重合。
3. 模板加载功能：某些CMS或框架加载模板文件时。
4. 压缩包解压功能：如果服务端解压用户上传的压缩包，并对压缩包内的文件路径未做检查，可能造成“Zip Slip”攻击，这是一种变相的目录遍历。
5. API接口：移动端或前端调用的文件获取API。

4.2 手动测试流程：步步为营

1. 参数识别：通过爬虫（如Burp的爬虫功能）或手动浏览，收集所有带文件路径参数的URL。
2. 基础探测：对每个参数，尝试输入一些无害的遍历序列，观察响应。
   • 输入../../，观察是否返回错误（如路径不存在错误），这至少说明参数被用于文件操作。
   • 输入./或自身文件名，观察是否正常返回。确认参数功能。
3. 逐步深入：
   • 确定基础目录：尝试../../index.php或../../当前页面文件名。如果成功读取到Web目录下的已知文件，说明漏洞存在，并可以确定跳转层数。
   • 读取系统文件：根据服务器操作系统，尝试读取/etc/passwd（Linux）或C:\windows\win.ini（Windows）。Linux下还可以尝试/proc/self/cmdline查看进程信息。
   • 读取Web配置：尝试读取config.php,config.inc.php,.env,WEB-INF/web.xml,WEB-INF/classes/下的配置文件等。
4. 绕过过滤测试：如果直接输入被拦截，系统化地尝试以下绕过手法：

实操心得：手动测试时，保持耐心和记录非常重要。我习惯用笔记软件或Burp的Notes功能记录每个参数的测试结果。响应长度的显著变化、响应时间的差异、以及特定的错误信息（如“No such file or directory” vs “Access denied”）都是宝贵的线索，能告诉你服务器到底处理了你的输入，还是直接拒绝了。

5. 漏洞修复与安全开发实践

知道怎么攻击，最终是为了更好地防御。修复目录遍历漏洞，核心原则是：永远不要信任用户输入，对文件路径进行严格的白名单控制。

5.1 修复方案对比与选择

5.2 各语言安全代码示例

PHP

// 不安全示例 $file = $_GET['file']; $basePath = '/var/www/html/uploads/'; $fullPath = $basePath . $file; // 危险！直接拼接 readfile($fullPath); // 安全示例（规范化后校验） $file = $_GET['file']; $basePath = '/var/www/html/uploads/'; // 拼接 $userPath = $basePath . $file; // 获取规范化后的绝对路径，并解析符号链接 $realBase = realpath($basePath); $realUser = realpath($userPath); // 关键检查：用户路径必须位于基础路径之下 if ($realUser === false || strpos($realUser, $realBase . DIRECTORY_SEPARATOR) !== 0) { die('Access denied.'); } readfile($realUser);

Java (Servlet)

String file = request.getParameter("file"); Path baseDir = Paths.get("/var/www/html/uploads").normalize().toAbsolutePath(); Path userPath = baseDir.resolve(file).normalize().toAbsolutePath(); if (!userPath.startsWith(baseDir)) { response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access denied"); return; } // 安全，使用userPath进行文件操作

Python

import os from flask import request, abort file = request.args.get('file') base_path = os.path.abspath('/var/www/html/uploads') # 拼接并获取绝对路径 user_path = os.path.abspath(os.path.join(base_path, file)) # 关键检查 if not user_path.startswith(base_path + os.sep): abort(403) # 安全，使用user_path

Node.js

const path = require('path'); const userInput = req.query.file; const baseDir = path.resolve('/var/www/html/uploads'); const userPath = path.resolve(baseDir, userInput); if (!userPath.startsWith(baseDir + path.sep)) { return res.status(403).send('Access denied'); } // 安全，使用userPath

5.3 安全开发习惯养成

1. 最小权限原则：运行Web服务的操作系统用户（如www-data,nobody）应仅拥有对Web根目录的必要读取权限，绝不能拥有对/etc、/home等关键目录的读取权。
2. 错误信息隐藏：生产环境应关闭详细的错误回显（如PHP的display_errors），避免泄露服务器物理路径等信息。
3. 定期安全扫描：使用静态应用安全测试（SAST）工具或依赖组件安全扫描（SCA）工具，在开发流程中自动检测潜在的路径遍历风险。
4. 代码审计：在代码审查中，将文件操作函数（如open,readfile,include）的使用作为重点审查项。

6. 从目录遍历到其他漏洞的联想与防御

安全漏洞 rarely exist in isolation。目录遍历常常是攻击链的起点，它获取的信息能为其他更严重的攻击铺平道路。

• 信息收集：读取/proc/self/environ可能泄露环境变量、密钥；读取.git/index可能导致源代码泄露，进而进行白盒审计。
• 配合文件上传：如果存在任意文件上传漏洞，但上传路径不可知或不可访问，通过目录遍历找到上传目录，就能连接Webshell。
• 配合文件包含：本地文件包含（LFI）漏洞本质上需要目录遍历来读取目标文件。修复LFI时，同样需要采用白名单或路径校验。
• Zip Slip漏洞：这是目录遍历在文件解压场景下的变种。修复时，必须在解压前校验压缩包内每个文件的规范路径是否在目标目录内。

防御的深层思维：所有与“路径”、“文件名”相关的用户输入，都必须视为不可信的。设计功能时，应优先考虑“映射”（ID到文件）而非“拼接”（路径+文件名）。如果必须拼接，则“规范化+前缀校验”是黄金标准。

手动复现目录遍历漏洞的过程，是一个将抽象安全概念具象化的绝佳训练。它教会你的不仅仅是一个Payload，更是一种“不信任用户输入”的安全思维和“由点到面”的测试方法。当你下次在代码中写下文件操作相关的函数时，希望你能下意识地停顿一下，问自己：“这个路径参数，我校验够了吗？” 这种条件反射式的安全意识，正是无数次像今天这样的复现练习所培养出来的最宝贵的财富。