概述
不安全的文件下载概述
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,
一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,
将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,
将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,
而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。
从而导致后台敏感信息(密码文件、源代码等)被下载。
所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,
则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!
你可以通过“Unsafe file download”对应的测试栏目,来进一步的了解该漏洞。 unsafe filedownload 不安全的文件下载
点一下名字抓个包看看
GET /pikachu-master/vul/unsafedownload/execdownload.php?filename=ai.png HTTP/1.1这里看到filename=ai.png就是下载的文件名词,由于这里是一个不安全的文件下载漏洞,所以我们就可以使用相对路径下载该路径下的任意文件。
GET /pikachu-master/vul/unsafedownload/execdownload.php?filename=../unsafedownload.php HTTP/1.1修改filename之后的文件名称放包
就完成了下载任意文件的操作了、
看一下文件下载的php代码
<?php
$PIKA_ROOT_DIR = "../../";
include_once $PIKA_ROOT_DIR."inc/function.php";
header("Content-type:text/html;charset=utf-8");
// $file_name="cookie.jpg";
$file_path="download/{$_GET['filename']}";
//用以解决中文不能显示出来的问题
$file_path=iconv("utf-8","gb2312",$file_path);
//首先要判断给定的文件存在与否
if(!file_exists($file_path)){
skip("你要下载的文件不存在,请重新下载", 'unsafe_down.php');
return ;
}
$fp=fopen($file_path,"rb");
$file_size=filesize($file_path);
//下载文件需要用到的头
ob_clean();//输出前一定要clean一下,否则图片打不开
Header("Content-type: application/octet-stream");
Header("Accept-Ranges: bytes");
Header("Accept-Length:".$file_size);
Header("Content-Disposition: attachment; filename=".basename($file_path));
$buffer=1024;
$file_count=0;
//向浏览器返回数据
//循环读取文件流,然后返回到浏览器feof确认是否到EOF
while(!feof($fp) && $file_count<$file_size){
$file_con=fread($fp,$buffer);
$file_count+=$buffer;
echo $file_con;
}
fclose($fp);
?>
2516
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
