menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right ... chevron_right 093-Nginx chevron_right 002-Nginx 配置错误漏洞 目录穿越漏洞.md
  • home 首页
  • brightness_4 暗黑模式
    • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    002-Nginx 配置错误漏洞 目录穿越漏洞.md
    480 B / 2021-07-17 00:01:30
        # Nginx 配置错误漏洞 目录穿越漏洞

### 一、漏洞简介

### 二、漏洞影响

### 三、复现过程

Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞。

错误的配置文件示例(原本的目的是为了让用户访问到/home/目录下的文件):


```bash
location /files {
    alias /home/;
}
```

**Payload: **`http://url:8081/files../` ,成功穿越到根目录:

![](images/15891956492908.png)
    links
    file_download