Comprende, con un enfoque práctico, cómo identificar Full Path Disclosure y Directory Traversal en DVWA para fortalecer auditorías de seguridad. Verás cómo un error controlado revela rutas completas del sistema y cómo la lectura de archivos sensibles puede apoyar ataques posteriores como fuerza bruta, diferenciando claramente de Local File Inclusion (LFI).

¿Qué es Full Path Disclosure y por qué importa?

Provocar un error mal manejado en el servidor puede exponer la ruta completa del sistema. Esta información no hackea por sí sola, pero es valiosa para mapear la estructura de la aplicación y el sistema operativo.

• Permite inferir el sistema operativo por el formato de rutas.
• Revela carpetas y archivos de la aplicación (por ejemplo, DVWA/vulnerabilities/fi/index.php).
• Ayuda a planificar pasos siguientes en la auditoría.

¿Cómo provocar el error en DVWA?

En DVWA, dentro de File Inclusion, hay un parámetro llamado page. Si envías un valor que no corresponde a un archivo válido, el servidor intentará cargarlo y fallará mostrando la traza con la ruta completa y detalles como el archivo y la línea del error.

• Acción: forzar carga de un archivo inexistente con un valor aleatorio.
• Resultado: mensaje de error que muestra la ruta absoluta y ubicación del fallo en index.php.

ejemplo:

?page=*

Habilidad reforzada: provocar errores controlados, interpretar rutas de sistema Linux y reconocer la estructura de la aplicación.

¿Cómo explotar Directory Traversal de forma segura?

Path Traversal permite leer archivos del sistema atravesando directorios con secuencias como ../. Si puedes incluir archivos, puedes recuperar información sensible para otros vectores.

• Objetivo típico: leer /etc/passwd para listar usuarios.
• Uso posterior: preparar ataques de fuerza bruta con los usuarios obtenidos.
• Otros insumos: logs de servicios como access log y error logs para más contexto.

¿Qué información puedes obtener?

Desde DVWA, indicando rutas relativas, es posible retroceder directorios y solicitar archivos del sistema. Por ejemplo, “volver cinco carpetas atrás” y leer /etc/passwd.

?page=../../../../../etc/passwd

• /etc/passwd: usuarios y estructura básica del sistema.
• Access log y error logs: pistas de rutas, errores y patrones de uso.
• Beneficio: inteligencia para la auditoría sin ejecución de código.

¿En qué se diferencia Directory Traversal de LFI?

Ambas técnicas “incluyen” archivos, pero su impacto cambia de forma clave:

• Path Traversal: solo lee contenido. No ejecuta código.
• LFI (Local File Inclusion): además de incluir, puede ejecutar código si el archivo contiene PHP o ASP, según la tecnología del servidor web.

En DVWA, el flujo es similar al de File Inclusion: se pasan rutas mediante parámetros. La diferencia crítica está en el comportamiento al cargar archivos con código: LFI ejecuta, Path Traversal no.

Habilidades practicadas:

• Comprender parámetros y validación en el backend.
• Identificar errores de configuración del servidor web.
• Diseñar rutas relativas para lectura de archivos sin ejecución.

¿Te animas a ir más allá? Comparte en los comentarios otros archivos de interés y su ruta para consultarlos de forma segura. En la próxima clase se aborda Command Injection. ¡Te leo!