すべてのサブディレクトリのファイルを一覧表示し、最後の 5 つを非表示にして残りを削除する次のファイルを見つけました。

残念ながら、サブディレクトリの数がわからない場合、正しい数のファイルが削除されません。各ディレクトリを横断して、各サブディレクトリ内の最新のファイル以外をすべて削除する方法はありますか?

ディレクトリ構造は次のようになります。

-> ベースディレクトリ -> 親ディレクトリ -> 子ディレクトリ

バックグラウンド

IIS でホストされている脆弱なサービスに対してパス トラバーサル攻撃を実行しようとしています。

サービスは次のようなものです。

基になるコードは次のようなものです。

書かれているように、このサービスは明らかに脆弱です。

ケストレルアタック

dotnet runKestrel Web サーバーを使用して収集した をローカルで実行すると、パス トラバーサル攻撃を実行できます。私の攻撃ペイロードは..\..\secret.txt、エンコードされてログに表示されます:

IIS 攻撃

IIS でホストされている場合、同じアプリでこの攻撃を再現できません。IIS は何らかの形で を解釈して URI を正規化しているよう..\です。つまり、API にヒットすることはありません。つまり、次のエンドポイントにヒットしようとします。

..\文字シーケンスにさまざまなエンコーディングを試しましたが、うまくいきませんでした。

質問

この IIS の動作を回避して、IIS でホストされているこの脆弱なアプリに対してパス トラバーサル攻撃を実行するにはどうすればよいですか?