文件下载漏洞

文件下载漏洞

漏洞发生

pikachu靶场中,点击NBA球员的名字可以下载头像图片,其前端逻辑如下

                <div class="png" style="float: left">
                    <img src="download/kb.png" /><br />
                    <a href="execdownload.php?filename=kb.png" >科比.布莱恩特</a>
                </div>

将要下载的图片名称作为filename的值传给execdownload.php

下面来看后端的逻辑

<?php
$PIKA_ROOT_DIR =  "../../";

include_once $PIKA_ROOT_DIR."inc/function.php";

header("Content-type:text/html;charset=utf-8");
// $file_name="cookie.jpg";
$file_path="download/{$_GET['filename']}";
//用以解决中文不能显示出来的问题
$file_path=iconv("utf-8","gb2312",$file_path);

//首先要判断给定的文件存在与否
if(!file_exists($file_path)){
    skip("你要下载的文件不存在，请重新下载", 'unsafe_down.php');
    return ;
}
$fp=fopen($file_path,"rb");
$file_size=filesize($file_path);
//下载文件需要用到的头
ob_clean();//输出前一定要clean一下，否则图片打不开
Header("Content-type: application/octet-stream");
Header("Accept-Ranges: bytes");
Header("Accept-Length:".$file_size);
Header("Content-Disposition: attachment; filename=".basename($file_path));
$buffer=1024;
$file_count=0;
//向浏览器返回数据

//循环读取文件流,然后返回到浏览器feof确认是否到EOF
while(!feof($fp) && $file_count<$file_size){

    $file_con=fread($fp,$buffer);
    $file_count+=$buffer;

    echo $file_con;
}
fclose($fp);
?>

首先$file_path="download/{$_GET['filename']}";这里可以看出文件路径是与execdownload.php同目录下的download目录下的filename

然后后面直接把这个路径拿去执行文件读写了

也就是说没有对文件路径进行过滤

如果我们用相对路径这样写:

filename=../execdownload.php

就把execdownload.php下载下来了