从黑客视角看目录遍历漏洞：5种常见绕过手法及防御策略

从攻击者思维到防御者实践：深度拆解目录遍历漏洞的攻防博弈

最近在帮一家金融科技公司做代码审计时，我又一次遇到了那个“老朋友”——目录遍历漏洞。开发团队信誓旦旦地说他们已经做了充分的过滤，但当我用几个简单的编码变换绕过他们的防护时，整个会议室都安静了。这让我意识到，很多开发者对这类漏洞的理解还停留在表面，他们知道要过滤../，却不知道攻击者的工具箱里有多少种绕过手法。

目录遍历，或者说路径遍历漏洞，本质上是一种授权绕过问题。攻击者通过操纵文件路径参数，访问应用程序本不应暴露的文件或目录。这听起来简单，但在实际渗透测试中，我发现超过60%的中大型Web应用都存在不同程度的路径遍历风险，只是表现形式和严重性不同。有些只能读取静态文件，有些却能结合其他漏洞获取服务器权限。

这篇文章我将从一个实战攻击者的视角出发，拆解五种最常用、最有效的绕过技术，然后切换到防御者角色，分享一套从代码到架构的多层防护策略。无论你是安全研究员想深入了解攻击手法，还是开发者希望写出更健壮的代码，这些内容都来自我这些年踩过的坑和积累的经验。

1. 理解漏洞核心：不只是过滤../那么简单

很多人认为目录遍历就是防止用户输入../，这种理解太片面了。真正的漏洞根源在于应用程序过度信任用户提供的路径参数，并且没有实施严格的路径规范化与验证。

1.1 路径解析的复杂性

现代Web应用运行在多层抽象之上，每一层对路径的理解都可能不同。考虑这个典型的PHP代码片段：

<?php
$file = $_GET['file'];
readfile('/var/www/uploads/' . $file);
?>

开发者可能认为，只要用户提供的file参数不包含../，文件就会被限制在/var/www/uploads/目录下。但实际情况要复杂得多。

关键问题在于路径解析的上下文差异：

• 应用层解析：PHP、Java、Python等语言有自己的路径处理函数
• 操作系统层解析：Linux、Windows、macOS的路径规则不同
• Web服务器解析：Nginx、Apache、IIS的URL重写和别名机制
• 编码层解析：URL编码、Unicode编码、双重编码

注意：永远不要假设用户输入会按照你预期的方式被解析。攻击者总是会尝试用系统最底层的方式去解释路径。

1.2 绝对路径与相对路径的混淆

一个常见的误解是认为使用绝对路径就安全了。看看这个例子：

import os
from flask import request, send_file

@app.route('/download')
def download():
    filename = request.args.get('file')
    # 开发者认为拼接绝对路径就安全了
    filepath = os.path.join('/safe/directory', filename)
    return send_file(filepath)

问题在于os.path.join()的行为。在Python中：

# 当filename以斜杠开头时
os.path.join('/safe/directory', '/etc/passwd')
# 返回的是 '/etc/passwd'，而不是 '/safe/directory/etc/passwd'

类似的问题在其他语言中同样存在。Java的Paths.get()、Node.js的path.join()都有各自的边界情况需要处理。

1.3 文件系统符号链接的风险

即使应用程序正确限制了目录访问，攻击者仍可能通过符号链接（symlink）绕过限制。考虑一个文件上传功能，允许用户上传图片到/var/www/uploads/目录。如果攻击者能上传一个指向/etc/passwd的符号链接文件，当应用程序读取这个“图片”时，实际读取的是系统密码文件。

# 攻击者在有写权限的目录创建符号链接
ln -s /etc/passwd malicious_image.jpg

这种攻击在共享主机环境或多用户系统中尤其危险，因为一个用户的漏洞可能影响整个系统。

2. 五种实战绕过手法深度解析

了解了漏洞原理，我们来看看攻击者实际使用的技术。这些不是理论上的可能性，而是我在渗透测试中反复验证有效的方法。

2.1 编码绕过：同一路径的多种表达

最简单的过滤是检查../，但路径分隔符有多种编码方式。一个成熟的攻击脚本会尝试所有可能的编码组合。

URL编码绕过：

原始：../../../etc/passwd
编码1：%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd
编码2：..%2f..%2f..%2fetc%2fpasswd
编码3：%2e%2e/%2e%2e/%2e%2e/etc/passwd

双重编码绕过： 有些应用会解码一次，但不会递归解码：

原始：../../../etc/passwd
一次编码：%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd
双重编码：%252e%252e%252f%252e%252e%252f%252e%252e%252fetc%252fpasswd

Unicode编码绕过： 在特定配置下，某些Unicode字符会被解释为点或斜杠：

全角点：．．/．．/．．/etc/passwd
Unicode点：U+FF0E（全角句点）
宽字符斜杠：U+FF0F（全角斜线）

我在实际测试中发现，大约30%的简单过滤可以被编码绕过。关键是系统如何规范化这些编码——有些Web服务器会在请求到达应用前解码，有些则不会。

2.2 空字节截断：被遗忘的边界条件

空字节截断（Null Byte Injection）是历史上非常经典的绕过技术，虽然现代语言和框架大多修复了这个问题，但在遗留系统或特定配置下仍然有效。

原理：C语言风格的字符串以空字符（\0）作为结束标志。当应用使用某些底层文件操作函数时，空字节后的内容会被忽略。

攻击示例：

file=../../../etc/passwd%00.jpg

应用检查文件扩展名.jpg，认为安全。但系统调用fopen()时，遇到%00就停止，实际打开的是../../../etc/passwd。

现代语言中的残留风险： 虽然PHP 5.3.4修复了空字节问题，但与其他组件的交互仍可能存在问题：

// 假设应用检查文件扩展名
$filename = $_GET['file'];
if (substr($filename, -4) === '.txt') {
    // 只允许.txt文件
    $content = file_get_contents('/safe/path/' . $filename);
}

如果攻击者提交malicious.php%00.txt，某些版本的PHP可能仍会将其视为.txt文件，但Web服务器配置可能将.php文件交给PHP解释器执行。

提示：即使语言层面修复了空字节问题，也要检查与外部系统（数据库、缓存、命令行工具）的交互，它们可能使用不同的字符串处理逻辑。

2.3 路径规范化差异：操作系统与Web服务器的博弈

不同系统对路径的规范化规则不同，这为攻击者创造了机会。

Windows特有的绕过：

# 使用反斜杠
..\..\..\Windows