注：本文仅作为技术交流使用，如有违反行为本文作者概不负责。

常见告警信息价值提取：

源IP

大概率为代理IP，可通过威胁情报平台进行识别此IP的历史攻击行为。

源端口

参考意义不大。

目的IP

我方资产IP（可定位疑似存在漏洞的资产的具体范围）。

目的端口

我方资产IP对应端口（可通过端口辅助确认漏洞所在资产的具体范围）。

响应码

辅助确认漏洞是否攻击成功（200代表漏洞利用可能成功。4XX/5XX一般都是利用失败）。

HTTP信息：

{
"referer":"",
"x_forwarded":"",
"cookie":"",
"method":"GET",
"reservel":"",
"userAgent":"Custom-AsyncHttpClient",

表示这是一个使用自定义名称的异步HTTP客户端发出的请求。

"queryString":"lang=../../../../../../../../../tmp/index1",
"type":"6",
"regexMatch":"lang=../../../../../../../../../tmp/index1",
"url":"/index.php",
"port":"443",
"domain":"x.x.x.x",

目的IP

"host":"x.x.x.x:xx",

目的IP及端口

"proxy_ip":""
}

攻击特征：

请求内容 “../”。

漏洞解析：

以下内容中，部分摘录自https://blog.csdn.net/seanyang_/article/details/134245565

漏洞释义：

路径（目录）遍历是一种漏洞，攻击者能够 访问或存储 外部的 文件和目录（即应用程序运行文件所在的位置）。这可能会导致从非 “预设路径下” 的目录中读取文件。如果是文件，则会导致读取文件、上传文件（也可以以此覆盖关键系统文件）；简单说就是可以进行读取、更新操作 “非预设目录下的文件”。

漏洞利用原理：

例如，假设我们想请求“report.pdf”文件，格式为：http://example.com/file=report.pdf
现在，作为攻击者，您当然对其他文件感兴趣，所以，你尝试更改格式为：http://example.com/file=…/…/…/…/…/etc/passwd/etc/passwd/
在这种情况下（通过相对路径的方式），您尝试爬取文件系统的根目录，然后以此获取对 “其他目录下文件” 的访问权限。
利用方法为“点-点-斜杠”，这是这种攻击的另一个名称。
参考：https://blog.csdn.net/qq_53079406/article/details/127140512

总结与收获：

防守方：
发现告警的请求包内出现“../”的信息后，可以借此判断 漏洞类型是否为 “目录遍历漏洞”。

攻击方：
在发现请求包的参数中包含诸如“file”等路径类关键词后，可以尝试利用“../”的方式进行“目录遍历”操作。如果服务端没有对请求参数中的“../”做严格过滤以及校验的话，可能导致“目录遍历漏洞”的产生。
_{知识就是力量}