文件下载漏洞
漏洞发生
pikachu靶场中,点击NBA球员的名字可以下载头像图片,其前端逻辑如下
<div class="png" style="float: left">
<img src="download/kb.png" /><br />
<a href="execdownload.php?filename=kb.png" >科比.布莱恩特</a>
</div>
将要下载的图片名称作为filename的值传给execdownload.php
下面来看后端的逻辑
<?php
$PIKA_ROOT_DIR = "../../";
include_once $PIKA_ROOT_DIR."inc/function.php";
header("Content-type:text/html;charset=utf-8");
// $file_name="cookie.jpg";
$file_path="download/{$_GET['filename']}";
//用以解决中文不能显示出来的问题
$file_path=iconv("utf-8","gb2312",$file_path);
//首先要判断给定的文件存在与否
if(!file_exists($file_path)){
skip("你要下载的文件不存在,请重新下载", 'unsafe_down.php');
return ;
}
$fp=fopen($file_path,"rb");
$file_size=filesize($file_path);
//下载文件需要用到的头
ob_clean();//输出前一定要clean一下,否则图片打不开
Header("Content-type: application/octet-stream");
Header("Accept-Ranges: bytes");
Header("Accept-Length:".$file_size);
Header("Content-Disposition: attachment; filename=".basename($file_path));
$buffer=1024;
$file_count=0;
//向浏览器返回数据
//循环读取文件流,然后返回到浏览器feof确认是否到EOF
while(!feof($fp) && $file_count<$file_size){
$file_con=fread($fp,$buffer);
$file_count+=$buffer;
echo $file_con;
}
fclose($fp);
?>
首先$file_path="download/{$_GET['filename']}";
这里可以看出文件路径是与execdownload.php同目录下的download目录下的filename
然后后面直接把这个路径拿去执行文件读写了
也就是说没有对文件路径进行过滤
如果我们用相对路径这样写:
filename=../execdownload.php
就把execdownload.php下载下来了