File path traversal, traversal sequences stripped with superfluous URL-decode
En algunos contextos, como en una ruta URL o en el parámetro de nombre de archivo de una solicitud multipart/form-data, los servidores web pueden eliminar cualquier secuencia de navegación por directorios antes de pasar la entrada a la aplicación. A veces se puede evitar este tipo de desinfección codificando la URL, o incluso codificando doblemente la URL, con los caracteres ../. Esto resulta en %2e%2e%2f y %252e%252e%252f respectivamente. También pueden funcionar varias codificaciones no estándar, como ..%c0%af o ..%ef%bc%8f.
Para los usuarios de Burp Suite Professional, Burp Intruder proporciona la lista de carga predefinida Fuzzing - path traversal. Contiene algunas secuencias de path traversal codificadas que puede probar.
LAB
20250728152233.png
20250728152936.png
Tenemos el parametro filename el cual podemos modificar.
20250728152955.png
En el parámetro filename ingresamos ../../../etc/passwd, el servidor nos dara un mensaje de Not such file por lo que debemos ponerle en url encode, y al enviar esta también nos dará el mismo mensaje por lo que debemos de poner otra vez en url encode. Luego de enviar la solicitud tendremos el contenido del archivo passwd
