3.2.1.1 攻击类型

文档摘要

3.2.1.1 攻击类型 3.2.1.1 攻击类型：当“路径遍历”撞上Burp Intruder的Payload编码链——一次因URL编码错位导致的0day绕过实录凌晨两点十七分，我盯着Burp Suite里那个反复失败的Intruder攻击面板，咖啡凉透，终端窗口里curl命令的响应码仍是403。不是404，不是500，是干净利落、拒人千里的403 Forbidden。而目标API端点 ——在手动构造请求时，它明明能返回root用户的shell配置片段。这不是逻辑漏洞，不是权限设计缺陷，更不是WAF规则漏判。这是Burp Intruder在执行“路径遍历（Path Traversal）”攻击时，对Payload的双重URL编码行为与服务端解码逻辑之间发生的精密错位。