任意文件下载漏洞

补天阁2024-11-18 17:42

1.漏洞简介

任意文件下载漏洞是指攻击者能够通过操控请求参数,下载服务器上未经授权的文件。

攻击者可以利用该漏洞访问敏感文件,如配置文件、日志文件等,甚至可以下载包含恶意代码的文件。

这里再导入一个基础:

你要在网站下载一个东西通常为直链下载,这个是漏洞发现点

http://down.znds.com/getdownur1/down/1.php

http://down.znds.com/getdownur1/?s=/down//1.php

http://down.znds.com/getdownur1/?s=L2Rvd24vMjAyMzA2MTMvMS5waHA

通常直接访问到哪一集目录,或者直接导入一个参数写入路径进行下载。

一般看到以上的这种链接都可以尝试一手看看有没有文件下载漏洞。

I

2.漏洞产生原因

说白了就一句话:你没有对用户能读取的文件进行一个过滤。

这里就写一些简单的代码为例子:将代码放在服务器根目录,做成以下的文件

D:\phpstudy_pro\WWW\

├── file_reader.php

└── files\

├── example.txt

└── image.jpg

复制代码 
<?php
$file = $_GET['file'];

$UploadDir = 'D:\\phpstudy_pro\\WWW\\files\\'; 

$path = $UploadDir . $file;

if (file_exists($path)) {
    readfile($path);
} else {
    die("File not found.");
}
?>

localhost/file_reader.php?file=1.txt

毋庸置疑肯定是可以进行读取的,因为我上面写的代码没有对用户读取的文件进行过滤,需要在原代码的基础上加上一些三点过滤:

// 只允许文件名包含字母数字和允许的字符

if (!preg_match('/^[a-zA-Z0-9_\-\.]+/', file)) {

die("Invalid file name.");

}
path = realpath(UploadDir . $file);

if (path === false \|\| strpos(path, $UploadDir) !== 0) {

die("File not found or access denied.");

}// 确保文件路径存在并且属于指定的目录
// 检查文件是否存在

if (file_exists($path)) {

// 只允许读取特定类型的文件,例如图片和PDF

$allowedExtensions = ['txt', 'jpg', 'jpeg', 'png', 'gif', 'pdf'];

extension = pathinfo(path, PATHINFO_EXTENSION);

(1).先是对文件名进行了检测,确保文件名只包含字母、数字、下划线、连字符和点(避免路径穿越和特殊字符)。

(2). 而且还做了**路径穿越防护,**防止攻击者通过路径穿越访问不该访问的文件

( 3).最后是文件类型限制:

通过 pathinfo($path, PATHINFO_EXTENSION) 获取文件扩展名,并限制只能读取图片(如 JPG、PNG、GIF)和 PDF 文件,避免恶意脚本文件(如 .php)被下载。

3.漏洞利用

进入pikachu靶场:

漏洞发现:

发现文件下载漏洞经典结尾:?filename=kb.png

经典传入参数filename=xx进行下载网站文件,可能存在文件下载漏洞。

在我的pikachu网站目录写入

直接更改结尾文件名

文件内容显现:

4.防护绕过进阶学习

有些网站会对../../../这些经典的符号进行绕过,所以可以进行编码的绕过。

1、URL编码绕过
复制代码 
点------%2e
斜线------%2f
反斜线------%5c
2、16位Unicode编码
复制代码 
点------%u002e
斜线------%u2215
反斜线------%u2216
3、双倍URL编码
复制代码 
点------%252e
斜线------%252f
反斜线------%255c
4.base64绕过

将文件名转成base64或者其他编码格式再去读取,比如:

http://127.0.0.1/file.php?filename=aW5kZXgucGhw //index.php

5.文件名截断

在文件上传里有一个经典的绕过文件检测的姿势:%00截断

http://127.0.0.1/file.php?filename=../index.php%00.jpg

注意php版本不要太高,需求5.3以内

5.任意文件下载漏洞修复

复制代码 
1)对下载路径进行过滤,如下载前对传入的参数进行过滤,并且对下载文件类型进行检查,是否是允许下载的类型

2)php.ini配置open_basedir限定文件访问范围

3)正则严格判断用户输入参数的格式

4)过滤.(点),使用户在url中不能回溯上级目录

文章内容参考:

WEB安全梳理-文件下载 - FreeBuf网络安全行业门户

相关推荐
漏洞谷1 天前
白帽子为什么几乎都绕不开 httpx:一款 HTTP 资产探测工具的技术价值
web安全·漏洞挖掘·安全工具
用户962377954484 天前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主5 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954487 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机8 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机8 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954488 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star8 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954488 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher9 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw 接入 QQ Bot 完整实践指南07OpenClaw 飞书机器人不回复消息?3 小时踩坑总结08npm-error code 128问题解决方法09OpenClaw macOS 完整安装与本地模型配置教程(实战版)10OpenClaw + 飞书(Feishu)环境搭建指南