任意文件上传、下载漏洞

1任意文件下载  

1.1什么是任意文件下载

一些网站由于业务需求，往往需要提供文件查看或文件下载功能，但若对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意敏感文件，这就是文件查看与下载漏洞

1.2如何找任意文件下载漏洞

一般链接形式:

download.php?path=

down.php?file=

data.php?file=

或者包含参数:

&Src=

&Inputfile=

&Filepath=

&Path=

&Data=

1.3任意文件常见利用文件

/root/.ssh/authorized_keys

/root/.ssh/id_rsa

/root/.ssh/id_ras.keystore

/root/.ssh/known_hosts //记录每个访问计算机用户的公钥

/etc/passwd

/etc/shadow

/etc/my.cnf //mysql配置文件

/etc/httpd/conf/httpd.conf //apache配置文件

/root/.bash_history //用户历史命令记录文件

/root/.mysql_history //mysql历史命令记录文件

/proc/mounts //记录系统挂载设备

/porc/config.gz //内核配置文件

/var/lib/mlocate/mlocate.db //全文件路径

/porc/self/cmdline //当前进程的cmdline参数

1.4漏洞修复

（1）过滤"."，使用户在url中不能回溯上级目录

（2）正则严格判断用户输入参数的格式

（3）php.ini配置open_basedir限定文件访问范围

2.任意文件上传

2.1什么是任意文件上传

大多数网站都有文件上传的接口，但如果在后台开发时并没有对上传的文件进行安全考虑或采用了有缺陷的措施，导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件，从而通过该恶意文件的访问来控制整个后台

2.2文件上传的绕过方式

一般分为客户端和服务端  客户端是js绕过 用burpsuite抓个包改一下扩展名，服务端绕过分为检查后缀，检查内容，和其他绕过。检查后缀主要是黑名单和白名单绕过 ，黑名单的话 ，上传特殊解析后缀、后缀大小写绕过、点绕过、空格绕过、：：$DATA绕过、配合解析漏洞、双后缀名绕过 ；白名单的话是00截断（php版本低于5.3.4魔术符号要关闭状态 、和MIME绕过，其他绕过有时间竞争绕过；检查内容是文件头检查  二次渲染 以及一些函数（getimagesize和exif_imagetype）突破

2.3任意文件上传的防范

2.3.1 将上传目录设置为不可执行

2.3.2  对文件类型进行检查，比较推荐的就是白名单的方式

2.3.3 使用随机数改写文件名或文件路径

2.3.4 单独设置文件服务器的域名