Portswigger academy Path traversal Lab: File path traversal, traversal sequences stripped with superfluous URL-decode

 

Lab kali ini menginstruksikan agar melakukan encode terlebih dahulu terhadap karakter yang diblok oleh sistem. Misal sistem memblock untuk penyisipan ../ maka selain kita dapat mengakali dengan ....// kita juga dapat mengakalinya dengan melakukan encode terhadap karakter tersebut. Bisa menggunakan tools di internet atau melakukannya langsung di burpsuite.

Seperti biasa, pertama-tama tangkap salah satu image terlebih dahulu, lalu send to repeater:

Masukkan karakter: ../../../etc/passwd

Selanjutnya encode karakter dengan block text ../../../ lalu klik kanan, 

Sehingga menjadi:

Lalu klik send, jika belum solve, maka lakukan encode kembali ke karakter tadi, jadi 2x encode. 

Selanjutnya klik send, dan lab telah berhasil disolved.