Unsafe Filedownload概述
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。(又称:任意文件下载)
所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!
不安全文件下载演示
进入靶场,我们点击下载
下载艾佛森图片后
url:
127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=ai.png
相当于把ai.png传到后台,后台找到文件读取之后,在响应到前端,这样浏览器就能将图片下载下来
那一般怎么测试呢?
我们通常使用目录遍历
../ 跳转到根目录
然后再以根目录为起始点,往下做更多的读取
Windows payload:
127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=../../../../../Windows/win.ini
Linux payload:
127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=../../../../../etc/passwd
我这里就随便写了一个
http://127.0.0.1/pikachu-master/vul/unsafedownload/execdownload.php?filename=../../../../../../../../vmware.log
来看看它的源码吧,分析一下漏洞怎么形成的
将获取到的filename,直接拼接在download目录下(download目录下是图片),
然后会fopen读取这个文件,算出长度,然后放在header中,响应回来
最后它会循环读取,把所有的字节流全部读取出来
不安全文件下载防范
如何能够防范不安全的文件下载呢?
我们刚刚也演示一遍,通过分析源码,我们知道可以利用白名单来进行过滤
如果不是白名单的东西,那么就不能访问下载
同时也要对文件下载的目录进行严格的限定。
扫一扫
1140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
