1.漏洞简介
任意文件下载漏洞是指攻击者能够通过操控请求参数,下载服务器上未经授权的文件。
攻击者可以利用该漏洞访问敏感文件,如配置文件、日志文件等,甚至可以下载包含恶意代码的文件。
这里再导入一个基础:
你要在网站下载一个东西通常为直链下载,这个是漏洞发现点
http://down.znds.com/getdownur1/down/1.php
http://down.znds.com/getdownur1/?s=/down//1.php
http://down.znds.com/getdownur1/?s=L2Rvd24vMjAyMzA2MTMvMS5waHA
通常直接访问到哪一集目录,或者直接导入一个参数写入路径进行下载。
一般看到以上的这种链接都可以尝试一手看看有没有文件下载漏洞。
I
2.漏洞产生原因
说白了就一句话:你没有对用户能读取的文件进行一个过滤。
这里就写一些简单的代码为例子:将代码放在服务器根目录,做成以下的文件
D:\phpstudy_pro\WWW\
├── file_reader.php
└── files\
├── example.txt
└── image.jpg
<?php $file = $_GET['file']; $UploadDir = 'D:\\phpstudy_pro\\WWW\\files\\'; $path = $UploadDir . $file; if (file_exists($path)) { readfile($path); } else { die("File not found."); } ?>
毋庸置疑肯定是可以进行读取的,因为我上面写的代码没有对用户读取的文件进行过滤,需要在原代码的基础上加上一些三点过滤:
// 只允许文件名包含字母数字和允许的字符
if (!preg_match('/^[a-zA-Z0-9_\-\.]+$/', $file)) {
die("Invalid file name.");
}
path = realpath(UploadDir . $file);if (path === false \|\| strpos(path, $UploadDir) !== 0) {
die("File not found or access denied.");
}// 确保文件路径存在并且属于指定的目录
// 检查文件是否存在if (file_exists($path)) {
// 只允许读取特定类型的文件,例如图片和PDF
$allowedExtensions = ['txt', 'jpg', 'jpeg', 'png', 'gif', 'pdf'];
extension = pathinfo(path, PATHINFO_EXTENSION);
(1).先是对文件名进行了检测,确保文件名只包含字母、数字、下划线、连字符和点(避免路径穿越和特殊字符)。
(2). 而且还做了**路径穿越防护,**防止攻击者通过路径穿越访问不该访问的文件
( 3).最后是文件类型限制:
通过 pathinfo($path, PATHINFO_EXTENSION) 获取文件扩展名,并限制只能读取图片(如 JPG、PNG、GIF)和 PDF 文件,避免恶意脚本文件(如 .php)被下载。
3.漏洞利用
进入pikachu靶场:
漏洞发现:
发现文件下载漏洞经典结尾:?filename=kb.png
经典传入参数filename=xx进行下载网站文件,可能存在文件下载漏洞。
在我的pikachu网站目录写入
直接更改结尾文件名
文件内容显现:
4.防护绕过进阶学习
有些网站会对../../../这些经典的符号进行绕过,所以可以进行编码的绕过。
1、URL编码绕过
点------%2e
斜线------%2f
反斜线------%5c
2、16位Unicode编码
点------%u002e
斜线------%u2215
反斜线------%u2216
3、双倍URL编码
点------%252e
斜线------%252f
反斜线------%255c
4.base64绕过
将文件名转成base64或者其他编码格式再去读取,比如:
http://127.0.0.1/file.php?filename=aW5kZXgucGhw //index.php
5.文件名截断
在文件上传里有一个经典的绕过文件检测的姿势:%00截断
http://127.0.0.1/file.php?filename=../index.php%00.jpg
注意php版本不要太高,需求5.3以内
5.任意文件下载漏洞修复
1)对下载路径进行过滤,如下载前对传入的参数进行过滤,并且对下载文件类型进行检查,是否是允许下载的类型
2)php.ini配置open_basedir限定文件访问范围
3)正则严格判断用户输入参数的格式
4)过滤.(点),使用户在url中不能回溯上级目录
文章内容参考: