Witam, znalazłem ciekawą linijkę w pewnym cmsie i wydaje się być podatny na atak Path Traversal.
Zostało mi jedna rzecz mianowicie mogę dowolnie manipulować adresem i wyświetlić dowolny plik ale nie mogę się cofnąć w drzewie katalogów bo jest na końcu mniejwięcej taki filtr:

[PHP] pobierz, plaintext 
$path = dirname(__FILE__).(string)preg_replace('#\.{2,}#', '.', $_GET['xxx']);
[PHP] pobierz, plaintext 

Czyli xxx jest filtrowana pod kątem dwóch kropek i zamienia je na jedną.
I tu pytanie czy da się to jakiś obejść (linux)?

Jeżeli wszystkie pliki masz w jednym katalogu, wystarczy użyć basename aby wyciągnąć z podanej ścieżki plik:

[PHP] pobierz, plaintext 
$path = dirname(__FILE__).basename($_GET['xxx']);
[PHP] pobierz, plaintext 

Nie nie, muszę się cofnąć o kilka katalogów aby pobrać config z hasłami mysql itp. i do tego mogę manipulować tylko zmienną $_GET['xxx']. Dalej w hierarchii nic nie ma tylko pliki html.

Na mój rozum jeśli 2 kropki zamienia w jedną, to dając 3 kropki zostaną dwie.

Nie, 2 i więcej zamienia na jedną: http://www.phpliveregex.com/p/fsk

Ale to musisz się cofać z poziomu zmiennej GET? Nie możesz tego na sztywno w kodzie umieścić ? Jeżeli będzie to na sztywno w kodzie, a będziesz ze zmiennej GET pobierał tylko nazwę pliku, to basename jest wystarczające. W przeciwnym wypadku żadne wyrażenie ci nie pomoże.

Przez ten filtr nie cofniesz się. Chyba że . zostanie zamieniona na jakiś kod odpowiadający . i ten to przeparsuje poprawnie.

No właśnie dlatego pytam próbowałem zamieniać jak piszą na wiki ale nie działa:

%2e%2e%2f which translates to ../
%2e%2e/ which translates to ../
..%2f which translates to ../
%2e%2e%5c which translates to ..\