Golang
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
U programskom jeziku Go, uobičajena praksa prilikom obrade HTTP zahteva, posebno korišćenjem net/http
biblioteke, je automatska konverzija putanje zahteva u standardizovani format. Ovaj proces uključuje:
Putanje koje se završavaju sa kosom crtom (/
) kao što je /flag/
preusmeravaju se na svoju verziju bez kose crte, /flag
.
Putanje koje sadrže sekvence za prelazak direktorijuma kao što je /../flag
se pojednostavljuju i preusmeravaju na /flag
.
Putanje sa završnom tačkom kao u /flag/.
se takođe preusmeravaju na čistu putanju /flag
.
Međutim, izuzetak se primećuje prilikom korišćenja CONNECT
metode. Za razliku od drugih HTTP metoda, CONNECT
ne pokreće proces normalizacije putanje. Ovo ponašanje otvara potencijalnu mogućnost za pristup zaštićenim resursima. Korišćenjem CONNECT
metode zajedno sa --path-as-is
opcijom u curl
, može se zaobići standardna normalizacija putanje i potencijalno doći do ograničenih oblasti.
Sledeća komanda demonstrira kako iskoristiti ovo ponašanje:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)