任意文件读取

最新推荐文章于 2024-07-06 15:54:39 发布
最新推荐文章于 2024-07-06 15:54:39 发布
阅读量8.4k 收藏 3
点赞数

任意文件读取是属于文件操作漏洞的一种,一般任意文件读取漏洞可以读取的配置信息甚至系统重要文件。

严重的话,就可能导致SSRF,进而漫游至内网。

步骤1:代码审计,分析原理

我们已经知道,用户的头像显示,是使用file_get_contents函数来读取的,而它读取的内容是从session里面获取的。那么session的值又是从哪里获取的?

使用全局搜索法对其进行搜索:$_SESSION['avatar'],可以搜索到下面几个页面:

logcheck.php,登录页面 regcheck.php,注册的页面 updateAvatar.php 上传页面

我们着重查看updateAvatar.php里面的内容,代码如下:

if (isset($_POST['submit']) && isset($_FILES['upfile'])) {

 if(is_pic($_FILES['upfile']['name'])){

  $avatar = $uploaddir . '/u_'. time(). '_' . $_FILES['upfile']['name'];

  if (move_uploaded_file($_FILES['upfile']['tmp_name'], $avatar)) {
   //更新用户信息
   $query = "UPDATE users SET user_avatar = '$avatar' WHERE user_id = '{$_SESSION['user_id']}'";
   mysql_query($query, $conn) or die('update error!');
   mysql_close($conn);
   //刷新缓存
   $_SESSION['avatar'] = $avatar;
   header('Location: edit.php');
  }

在第11行,files变量拼接后,直接带入Sql语句查询,也没有sqlwaf的过滤。而且FILES变量也没有转义。这时候,只需要bypass掉单引号就可以注入了,因此可以通过注入去把它的路径改为我们想要的。

我们的思路是这样的:图像显示读取的内容是session,而session,可以从登陆的地方获取到数据库信息,而上传的地方可以更改数据库的信息。那么如何修改,变成想要的路径,去读取任意文件呢?

这时候就可以用到update的特性,它的特性是:可以进行多重设置,但只取最后一个值。例如:

UPDATE users SET user_avatar = '1',user_avatar = '2' WHERE user_id = '1'

因此,我们就可以不管前面的1,并使用单引号去闭合它,并设置2的内容,改为我们想要的路径。

但是再看代码的第7行:它会判断文件名是否为图片后缀,因此还需要对其进行截断,继续构造语句:

UPDATE users SET user_avatar = '1',user_avatar = '2' WHERE user_name = 'test'#.png

因为我们并不知道参数的ID是多少,所以改为user_name。name即是我们的账户名,后面再修改为png格式。这样就可以成功的绕过。

最终的payload为:

 ',user_avatar = '2' WHERE user_name = 'test'#.png

只要将上传页面的数据包name值替换为我们构造好的payload,就可以成功的对数据库进行注入,插入我们构造的语句,从而达到任意文件读取的目的。 修复演示代码

if (isset($_POST['submit']) && isset($_FILES['upfile'])) {

 if(is_pic($_FILES['upfile']['name'])){

  $avatar = $uploaddir . '/u_'. time(). '_' . $_FILES['upfile']['name'];

  $avatar = sec($avatar);

  if (move_uploaded_file($_FILES['upfile']['tmp_name'], $avatar)) {
   //更新用户信息
   $query = "UPDATE users SET user_avatar = '$avatar' WHERE user_id = '{$_SESSION['user_id']}'";
   // UPDATE users SET user_avatar = '1',user_avatar = '2' WHERE user_name = 'test'#.png
   // ',user_avatar = '2' WHERE user_name = 'test'#.png
   mysql_query($query, $conn) or die(mysql_error());
   mysql_close($conn);
   //刷新缓存
   $_SESSION['avatar'] = $avatar;
   header('Location: edit.php');

对avatar变量进行了过滤,将单引号或其他敏感字符转换为斜杠,这样就修复了漏洞

kuiguowei
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
帆软报表二次开发之读取.properties配置文件
帆软爱好者的专栏
04-03 1099
先看图: 配置文件中的值。 代码运行时读取的值。 帆软报表中我们使用PropertiesUtils.getProperties("conf").getProperty("write_report")的形式来读取,这里的conf是我们的properties文件的名字,write_report是文件中某个配置项的名字。 帆软报表中要求我们的properties文件必须放在\webroot\WEB-INF\resources目录下就可以使用PropertiesUtils工具类。 ...
任意文件读取漏洞
qq_43679531的博客
09-03 891
漏洞产生原因: 1.有读取文件的函数; 2.读取文件的路径用户可控; 3.输出文件内容; 4.存在下载文件的功能; 漏洞危害: 1.读取敏感文件,如/etc/passwd; 2.读取服务器和系统配置信息; 3.下载数据库配置信息; 谷歌语法: inurl:“readfile.php?file=” inurl:“download.php?file=” inurl:“read.php?filename=” inurl:“down.php?file=” 常见绕过方式: 1.双URL编码 点
10.FineReport权限管理-只能看该员工自己的数据
qq_39462284的博客
07-06 691
FineReport权限管理-只能看该员工自己的数据
帆软报表 V8 get_geo_json 任意文件读取漏洞
huangyongkang666的博客
01-25 6859
帆软报表 V8 get_geo_json 任意文件读取漏洞 CNVD-2018-04757
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
Adminer≤4.6.2任意文件读取漏洞1
08-03
【Adminer≤4.6.2任意文件读取漏洞详解】 Adminer是一款功能强大的Web数据库管理工具,它支持多种主流数据库系统,如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,与phpMyAdmin类似。由于其轻量级的特性,只需一个...
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件
【代码审计】xyhcms3.5后台任意文件读取1
08-03
【代码审计】xyhcms3.5 后台任意文件读取漏洞详解 在网络安全领域,代码审计是一项至关重要的工作,它能帮助开发者发现并修复潜在的安全问题。本文将深入探讨xyhcms3.5中一个特定的任意文件读取漏洞,该问题存在于...
bagecms V3.1.3 后台任意文件读取漏洞1
08-03
### BageCMS V3.1.3 后台任意文件读取漏洞详解 #### 漏洞背景 BageCMS是一款基于PHP与MySQL构建的跨平台内容管理系统(CMS),广泛应用于各类网站建设和管理中。然而,在其V3.1.3版本中存在一个严重的安全漏洞——...
泛微OA云桥 未授权任意文件读取
Adminxe的博客
09-23 1635
0x00 漏洞描述 泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。 0x01 影响版本 2018-2019 多个版本。 0x02 漏洞复现 第一步:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt,在返回包有id字符串 ..
【代码审计】任意文件读取漏洞实例
04-15 417
0x00 前言   大多数网站都提供读取文件功能,一般实现过程是,根据参数filename的值,获得该文件在网站上的绝对路径,读取文件。   这里,通过两个任意文件读取漏洞实例去展示漏洞原理、漏洞危害。 0x01 漏洞实例一 环境搭建: XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源...
【漏洞复现】正方教学管理信息服务平台-ReportServer-任意文件读取漏洞
Nday_Seeker
03-21 2193
正方软件股份有限公司教学管理信息服务平台使用帆软报表组件ReportServer存在任意文件读取漏洞,攻击者可通过该漏洞获取服务器上敏感文件内容。
帆软 目录可浏览漏洞
laughingsister的博客
05-13 2356
因为帆软有内置服务器,一般运行都是内置服务器下运行的。可以里面的文件夹可以浏览,一定程度上造成安全问题。 整改建议 部署在Tomcat下,可以避免这个问题。
帆软报表二次开发之读取XML配置文件
帆软爱好者的专栏
04-03 983
在插件开发中,有时需要将配置信息存储在一个xml文件中,当插件启动时读取这个xml文件,一般xml文件是放在/webroot下的某个文件夹下。比如在webroot下的sxka下写了一个role.xml 的配置文件,内容为: <root> <roleType type="企业管理员" roleCode="111" selected="true" disabled="true" owner="1" isTab="false" audit="false" name="企业管理员"
帆软报表 V8.0 组合拳漏洞分析及复现
2301_80115097的博客
12-15 3547
FineReport是一款企业级报表设计和数据可视化软件,纯Java编写的企业级web报表工具。它提供了强大的报表设计、数据分析和数据可视化功能,旨在帮助企业用户轻松地创建高质量的报表和数据分析图表。
学习总结之任意文件读取漏洞(网站敏感数据泄露)
weixin_63694057的博客
06-17 1830
以下内容是我在实践过程中找到的一个任意文件读取漏洞,通过DirBuster发现该域名下存在.zip文件,通过在域名路径下加上该文件即可将这个压缩包下载到我的本地,然后解压发现是该网站的源码,这个漏洞对该企业网站来说影响是很大的,我也提交了该漏洞。原理:攻击者使用各种攻击方式扫描目标网站,寻找未授权访问的漏洞,然后攻击者利用这些漏洞发送特殊请求,获取到网站上存在的敏感信息或者文件;还有phpinfo文件,能够获取到服务器真实IP,一些配置信息如中间件,系统版本,数据库版本等,以及获取到网站根目录。
Jenkins 任意文件读取漏洞
最新发布
07-12
然而,在某些版本中存在一个已知的安全漏洞,通常称为“Jenkins任意文件读取漏洞”或CVE-2021-22073。这个漏洞发生在jenkins主控台插件管理功能中,攻击者如果能够利用该漏洞,可以构造恶意请求,导致Jenkins服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值