任意文件下载漏洞

任意文件下载

0x01 漏洞介绍

一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞

任意文件下载漏洞，正常的利用手段是下载服务器文件，如脚本代码，服务器配置或者是系统配置等等。但是有的时候我们可能根本不知道网站所处的环境，以及网站的路径，这时候我们只能利用./ …/来逐层猜测路径，让漏洞利用变得繁琐。
此时如果 攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。
所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。

0x02 漏洞产生原因

• 有读取文件的函数
• 读物文件的路径用户可控，且没有经过校验，或者校验不严格
• 输出文件内容
• 一个正常的网站，存在一个下载文件的功能，同时还会从浏览器接收文件名字

文件下载的两种方式
1、直接下载：

<a href=”http://www.a.com/xxx.rar”>下载</a>
1

2、增加header头

<?php
    $filename = $_GET['filename'];
    echo '<h1>讲开始下载文件！</h1><br /><br />';
    echo file_get_contents($filename);

    header('Content-Type: imgage/jpeg');
    header('Content-Disposition: attachment; filename='.$filename);
    header('Content-Lengh: '.filesize($filename));
?>

0x03 漏洞发现

如下代码一个正常的网站，存在一个下载文件的功能，同时还会从浏览器接收文件名字，将存在任意文件下载漏洞。

<?php
  $filename = $_GET['filename'];
  echo '<h1>讲开始下载文件！</h1><br /><br />';
  echo **file_get_contents**($filename); 　　　　//**无过滤导致*****\*漏洞函数\**** **file_get_contents 函数把整个文件读入一个字符串中并输出**

  header('Content-Type: imgage/jpeg');
  header('Content-Disposition: attachment; filename='.$filename);
  header('Content-Lengh: '.filesize($filename))