Vulnerabilidades Full Path Disclosure y Directory Traversal

Clase 10 de 14 • Curso de Hacking: Aplicaciones Web Server Side

Resumen

Comprende, con un enfoque práctico, cómo identificar Full Path Disclosure y Directory Traversal en DVWA para fortalecer auditorías de seguridad. Verás cómo un error controlado revela rutas completas del sistema y cómo la lectura de archivos sensibles puede apoyar ataques posteriores como fuerza bruta, diferenciando claramente de Local File Inclusion (LFI).

¿Qué es Full Path Disclosure y por qué importa?

Provocar un error mal manejado en el servidor puede exponer la ruta completa del sistema. Esta información no hackea por sí sola, pero es valiosa para mapear la estructura de la aplicación y el sistema operativo.

Permite inferir el sistema operativo por el formato de rutas.
Revela carpetas y archivos de la aplicación (por ejemplo, DVWA/vulnerabilities/fi/index.php).
Ayuda a planificar pasos siguientes en la auditoría.

¿Cómo provocar el error en DVWA?

En DVWA, dentro de File Inclusion, hay un parámetro llamado page. Si envías un valor que no corresponde a un archivo válido, el servidor intentará cargarlo y fallará mostrando la traza con la ruta completa y detalles como el archivo y la línea del error.

Acción: forzar carga de un archivo inexistente con un valor aleatorio.
Resultado: mensaje de error que muestra la ruta absoluta y ubicación del fallo en index.php.

ejemplo:

?page=*

Habilidad reforzada: provocar errores controlados, interpretar rutas de sistema Linux y reconocer la estructura de la aplicación.

¿Cómo explotar Directory Traversal de forma segura?

Path Traversal permite leer archivos del sistema atravesando directorios con secuencias como ../. Si puedes incluir archivos, puedes recuperar información sensible para otros vectores.

Objetivo típico: leer /etc/passwd para listar usuarios.
Uso posterior: preparar ataques de fuerza bruta con los usuarios obtenidos.
Otros insumos: logs de servicios como access log y error logs para más contexto.

¿Qué información puedes obtener?

Desde DVWA, indicando rutas relativas, es posible retroceder directorios y solicitar archivos del sistema. Por ejemplo, “volver cinco carpetas atrás” y leer /etc/passwd.

?page=../../../../../etc/passwd

/etc/passwd: usuarios y estructura básica del sistema.
Access log y error logs: pistas de rutas, errores y patrones de uso.
Beneficio: inteligencia para la auditoría sin ejecución de código.

¿En qué se diferencia Directory Traversal de LFI?

Ambas técnicas “incluyen” archivos, pero su impacto cambia de forma clave:

Path Traversal: solo lee contenido. No ejecuta código.
LFI (Local File Inclusion): además de incluir, puede ejecutar código si el archivo contiene PHP o ASP, según la tecnología del servidor web.

En DVWA, el flujo es similar al de File Inclusion: se pasan rutas mediante parámetros. La diferencia crítica está en el comportamiento al cargar archivos con código: LFI ejecuta, Path Traversal no.

Habilidades practicadas:

Comprender parámetros y validación en el backend.
Identificar errores de configuración del servidor web.
Diseñar rutas relativas para lectura de archivos sin ejecución.

¿Te animas a ir más allá? Comparte en los comentarios otros archivos de interés y su ruta para consultarlos de forma segura. En la próxima clase se aborda Command Injection. ¡Te leo!

Kenny Rodriguez

student•

al explicar la diferencia entre LFI y Directory traversal no se le entiende ya que en la explication mete el termino full path y termina por no entenderse

Francisco Daniel Carvajal Becerra

teacher•

Full Path Disclosure: Es una vulnerabilidad que permite conocer la ruta completa de algún archivo en particular dentro de una aplicación web. Esto se provoca generando errores en la aplicación web. Estos errores se pueden provocar con distintos métodos como por ejemplo ingresar datos no esperados dentro de algún formulario o un parámetro en el URL. Tambien hay distintas vulnerabilidades que permiten generar errores para ver la ruta completa, entre ellas el LFI, RFI, SQL Injection y algunas otras. Full Path Disclosure traducido al español es : Divulgación de Ruta Completa.
LFI permite cargar archivos y los ejecuta, lo cual permite ejecutar comando y acciones en el sistema operativo del servidor.
Directory Traversal permite cargar archivos pero no los ejecuta, solo carga su contenido, aunque con otras técnicas es posible provocar que se ejecuten comandos.

Javier Ramos

student•

Queda clara la explicacion Full Patch Disclosure divulga la ruta completa de un directorio en particular, mientras que LFI permite cargar archivos y ejecutarlos y Directory Transversal permite solo cargar archivos

GILBERTO ANTONIO QUIROGA SIERRA

student•

El Full Path Disclosure es una vulnerabilidad que revela la ruta completa del sistema de archivos de una aplicación web, proporcionando información sobre su estructura. Para identificarlo, se provoca un error en la aplicación, generalmente manipulando parámetros que el backend procesa. Si el servidor está mal configurado, el error mostrará la ruta completa, lo que permite conocer los directorios y archivos presentes. Es esencial para auditar la seguridad de una aplicación web.

Fabricio Diaz Nievas

student•

¿El archivo /dev/sda estará disponible? Aun no descargo la herramienta Otro archivo interesante podría ser /var/log , este guarda en texto sin formato el log de eventos de un sistema linux

Vulnerabilidades Full Path Disclosure y Directory Traversal

Introducción al Hacking de Aplicaciones Web

Hacking de Aplicaciones Web del Lado del Servidor

Configuración de Kali Linux en VMware Workstation Pro

Seguridad en Aplicaciones Web: OWASP Top 10 y Testing Guide

BurpSuite: cómo interceptar y analizar HTTP

Métodos HTTP y Códigos de Estatus: Funcionamiento y Aplicaciones

Cookies HTTP: qué son y cómo funcionan

Tipos de aplicaciones web y análisis con Wappalyzer

Técnicas de Hacking de Aplicaciones Web

File upload sin validación permite defacement

Vulnerabilidades de File Inclusion: LFI y RFI