20-文件下载及读取漏洞

已于 2023-03-30 17:20:37 修改
阅读量1.9k 收藏 1
点赞数
文章标签: 服务器 数据库 网络安全 安全
于 2023-03-30 17:13:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56414082/article/details/129861894
版权

WEB 漏洞-文件操作之文件下载读取全解

思维导图

img

  • 1.文件被解析,则是文件解析漏洞
  • 2.显示源代码,则是文件读取漏洞
  • 3.提示文件下载,则是文件下载漏洞

文件下载漏洞

利用条件

(1)存在读文件的函数和操作

(2)读取文件的路径用户可控且未校验或校验不严

(3)输出了文件内容

危害

(1)下载服务器任意文件,如脚本代码,服务以及系统配置文件等

(2)可用得到的代码进一步代码审计,挖掘漏洞

文件读取漏洞

就是攻击者通过一些手段可以读取服务器上开发者不允许读到的文件

一 、简介

由于业务需求,很多网站往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。

漏洞利用

  • 数据库配置文件下载或者读取后续
  • 接口密钥信息文件下载或者读取后续

二、任意文件下载漏洞地址

对应文件

  • 配置文件(数据库,平台,各种等)
利用:(信息收集信息>猜路径 >>下载配置文件/代码文件 >> 利用服务器软件漏洞> shell> 提权)
 
1.任意文件下载漏洞的利用主要是为了信息收集,我们通过对服务器配置文件的下载,获取到大量的配置信息、源码,从而根据获取的信息来进一步挖掘服务器漏洞从而入侵。
 
2.下载常规的配置文件,例如: ssh,weblogic,ftp,mysql等相关配置
下载各种.log文件,从中寻找一些后台地址,文件上传点之类的地方,如果运气好的话会获得一些前辈们的后门。
下载web业务文件进行白盒审计,利用漏洞进一步攻入服务器。
 
3.平台文件
Windows:(windows的这些路径不一定都存在)
    C:\boot.ini //查看系统版本
    C:\Windows\System32\inetsrv\MetaBase.xml          //IIS配置文件
    C:\Windows\repair\sam                                          //存储系统初次安装的密码
    C:\Program Files\mysql\my.ini                               //Mysql配置
    C:\Program Files\mysql\data\mysql\user.MYD     //Mysql root
    C:\Windows\php.ini              //php配置信息
    C:\Windows\my.ini             //Mysql配置信息
    C:\Windows\win.ini             //Windows系统的一个基本系统配置文件
 
Linux:
    /root/.ssh/authorized_keys
    /root/.ssh/id_rsa
    /root/.ssh/id_ras.keystore
    /root/.ssh/known_hosts             //记录每个访问计算机用户的公钥
    /etc/passwd
    /etc/shadow
    /usr/local/app/php5/lib/php.ini                //PHP配置文件
    /etc/my.cnf                 //mysql配置文件
    /etc/httpd/conf/httpd.conf             //apache配置文件
    /root/.bash_history             //用户历史命令记录文件
    /root/.mysql_history             //mysql历史命令记录文件
    /proc/mounts                 //记录系统挂载设备
    /porc/config.gz                //内核配置文件
    /var/lib/mlocate/mlocate.db         //全文件路径
    /porc/self/cmdline             //当前进程的cmdline参数
 
参考:https://www.cnblogs.com/zzhoo/p/12613815.html

记住下载和访问是不一样的.

案例1:pikuchu靶场-文件下载测试-参数判断

<1>打开显示如下,点击人名可以下载对应图片。img

<2>抓包得到对应下载地址如下:

http://127.0.0.1:8080/pikachu/vul/unsafedownload/execdownload.php?filename=ai.png

image-20230330141756717

<3>修改filename参数值如下,尝试下载当中的execdownload.php文件,判断是否存在文件下载漏洞。

http://192.168.31.128/pi/vul/unsafedownload/execdownload.php?filename=../execdownload.php

//判断出在上级目录所以使用一个../

image-20230330145320500

如果直接访问

http://192.168.31.128/pi/vul/unsafedownload/execdownload.php?
//也下载了文件但是不是源码

image-20230330141916845

因为PHP代码在页面中就是不可见的,一种属于访问,一种属于下载.

<4>可以使用扫描工具爬行或扫描地址,直接找到配置文件,或者通过下载代码文件分析其中包含的文件路径等,找到配置文件等敏感文件。

1.比如可以通过网站其他页面,将他通过…/的方式下载下来。分析代码。

image-20230330143833159

2.使用御剑工具中的字典扫描目录:

扫描出:(http://192.168.31.128/pi/vul/unsafedownload/download/)

这个是网站的存储的文件地址

image-20230330142705540

扫出敏感文件:

image-20230330143455058

打开连接,如果打不开就是没有权限.

image-20230330144036119

<5>分析配置文件路径,构造filename参数值,使其指向配置文件地址,下载。

http://127.0.0.1/vul/unsafedownload/execdownload.php?filename=../../../inc/function.php

<6>在配置文件中可以找到数据库用户名密码等敏感信息,方便后期利用。

config.inc.php中存放数据库名和密码image-20230330144319188

案例2:Zdns网站文件下载真实测试-功能点

<1>网站打开如下,找到下载功能点,点击下载。img

<2>抓包获取下载请求,分析如下。

真实的下载地址http://down.znds.com/getdownurl/?s=/down/20210806/txsp16158_7.8.0.1005_dangbei.apk

更换下载地址也就存在了文件下载漏洞img

<3>下载请求参数值是一个路径+文件名,猜测含有文件下载漏洞。这里我们不知道网站的代码结构,因此无法构造请求下载敏感文件。

<4>本案例主要是告诉我们下载漏洞在哪里测?下载漏洞怎么判断存在等。

一般去找下载功能点测试,观察下载接口参数值是不是文件名,是不是可以改为其他文件名或文件路径。

案例3:小米路由器-文件读取真实测试-漏洞

地址:https://www.seebug.org/vuldb/ssvid-98122

远程任意文件读取漏洞(CVE-2019-18371)

小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录)

nginx配置不当可导致目录穿越漏洞

location /xxx {
alias /abc/;
}

可通过访问http://domain.cn/xxx…/etc/passwd实现目录穿越访问上级目录及其子目录文件。

在小米路由器的文件/etc/sysapihttpd/sysapihttpd.conf中,存在。

location /api-third-party/download/extdisks {
alias /extdisks/;
}

故可以任意文件读取根目录下的所有文件,而且是root权限,

如访问http://192.168.31.1/api-third-party/download/extdisks…/etc/shadow

img

在fofa上搜索“小米路由器”,找到真实地址访问测试,成功下载文件。

img

img

案例4:RoarCTF2019-文件读取真题复现-比赛

地址:https://buuoj.cn/challenges#%5BRoarCTF%202019%5DEasy%20Java 思路:

  • 爬虫扫描地址-分析参数名参数值-文件操作安全-对应脚本
  • 修改提交方式测试-读取WEB配置文件WEB-INF/web.xnl
  • 访问读取对应地址-访问读取flag对应class文件-(WEB-INF/classes/com/wm/ctf/FlagController.class)

image-20230330152700835

<1>打开首页是一个登录框

image-20230330152648209

<2> 复制help连接,发现会触发一个文件下载请求:

http://90bc3afb-141d-47ba-b455-b2120b39a054.node4.buuoj.cn:81/Download?filename=help.docx

image-20230330155810221

<3>直接get该请求,报错,

image-20230330155905591原因是java代码设置了post请求方式,

因此我们将filename的传值以post方式提交

image-20230330160006073

<5>help文件内容如下,说明flag并不在这里。但是通过分析请求参数,猜测这里有文件下载读取漏洞。

img

<6> 通过分析该为Java程序开发的,在javaweb中有个WEB-INF文件下web.xml配置文件

  • Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。

image-20230330161040121

将filename值改为java的配置文件,成功读取到配置文件并在配置文件中找到了flag对应地址

image-20230330161256636

<7>尝试访问flag文件路径,报错,但是报错信息暴露了一个文件地址(该地址在配置文件中也有)img

<8>下载该文件 ,成功拿到flag。

image-20230330161509780

image-20230330161625121

案例5:百度杯2017二月-Zone真题复现-比赛拓展

地址:https://www.ichunqiu.com/battalion?t=1&r=57475

<1>首页是一个登录页面img

<2>首页抓包

看到login=0,

image-20230330162524573

将cookie中的login=0改为login=1,成功登录。img

<3>点击manage,继续抓包,将cookie中的login=0改为login=1

image-20230330162709547

image-20230330162820245

<4>抓到下一个请求接口,这个接口很关键,有module=index&name=php参数,意思是访问index.php文件。

image-20230330164525869

<5>尝试修改参数值,实现对指定文件的读取。…/.绕过了…/过滤

GET /manages/admin.php?module=..././..././..././etc/nginx/nginx.conf&name= HTTP/1.1

防护

(1)过滤特殊字符.点,使用户在URL中不能穿越目录

(2)正则严格判断用户输入参数的格式

(3)php.ini配置open_basedir限定文件访问范围

(4)将文件路径保存于数据库中,通过url?id=123的方式下载文件

阿凯6666
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
jQuery-1.7.2任意文件读取漏洞验证利用脚本
04-27
jQuery是一个快速、简洁的JavaScript框架,丰富的Javascript代码库,在其1.7.2版本的sys_dia_data_down模块存在任意文件读取漏洞,攻击者可通过前台读取任意文件。
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
记一次小米路由器任意文件读取漏洞
weixin_63021331的博客
03-31 1125
任意文件读取漏洞,是web安全里高危的漏洞,它可以泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。而这里介绍的是小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录)具体登录进去就不说啦,毕节未经授权的登录是违法的。到这里对于该漏洞的说明就已经讲解完啦,该漏洞大多来源与香港和台湾,大陆也有,当然大家也可以拿到漏洞平台去获得小部分奖励。大陆的基本上都被修复了,这次的漏洞挖掘大家可以去学习和参考。
小米路由器远程任意文件读取漏洞(CVE-2019-18371)
holen_的博客
01-26 3250
小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录) nginx配置不当可导致目录穿越漏洞 location /xxx { alias /abc/; } 可通过访问http://domain.cn/xxx…/etc/passwd实现目录穿越访问上级目录及其子目录文件。 在小米路由器的文件/etc/sysapihttpd/sysapihttpd.conf中,存在 location /api-third-party/download/extdisks { alias
网络安全最新任意文件读取 下载漏洞总结_任意文件下载漏洞(2),2024年最新鸿蒙教程来袭
最新发布
始飞龙
05-10 1036
当我们不知道路径是什么的情况下,这个可以说是一个核武器了,我们利用任意文件下载漏洞将mlocate.db文件下载下来,利用locate命令将数据输出成文件,这里面包含了全部的文件路径信息。然后逐个下载我们需要审计的代码文件,但是下载的时候变得很繁琐,我们只能尝试去猜解目录,然后下载一些中间件的记录日志进行分析。总体来说,任意文件下载漏洞的利用主要是为了信息收集,我们通过对服务器配置文件的下载,获取到大量的配置信息、源码,从而根据获取的信息来进一步挖掘服务器漏洞从而入侵。因为权限决定我们能下载的文件范围。
一文搞懂文件下载·读取漏洞
大河之犬的博客
04-18 898
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全文件下载漏洞。例如此时如果攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如),则很有可能会直接将该指定的文件下载下来。
第32天:WEB漏洞~文件操作之文件下载读取全解
廖一语山的博客
10-12 821
文件下载,小迪
任意文件读取/下载漏洞总结
未完成的歌~的博客
04-01 1万+
任意文件读取/下载漏洞(Arbitrary File Read/Download Vulnerability),是指攻击者可以通过某些漏洞,绕过应用程序的限制,直接读取或下载应用程序之外的文件。这种漏洞通常是由于应用程序没有对用户输入进行充分的验证和过滤而导致的。攻击者可以通过构造恶意的请求来利用该漏洞,从而读取或下载他们本来无权访问的文件,如密码、私钥、证书等,会提供攻击者更多可用信息,提高被入侵的风险。
32 WEB漏洞-文件操作之文件下载读取全解
山兔的博客
09-12 210
使用目录爬取工具,能够直接找到文件对应地址的,这个时候,我们可以通过下载漏洞去下这些文件,这些都是常见文件,一般下载的话,会下载敏感文件密匙文件:类似密码的文件这些信息文件能够下载下来的话,就能够得到相关敏感信息,这些敏感信息对于我们后续的渗透是非常有帮助的,这个漏洞是不会影响到权限的丢失,因为一旦有文件下载漏洞的话,我们可以通过这个漏洞下载我们想要的文件,但想要的文件通常是敏感文件或许说对后续渗透有帮助的。
nc57-任意文件读取漏洞补丁
06-08
nc57_任意文件读取漏洞补丁
Adminer≤4.6.2任意文件读取漏洞1
08-03
【Adminer≤4.6.2任意文件读取漏洞详解】 Adminer是一款功能强大的Web数据库管理工具,它支持多种主流数据库系统,如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,与phpMyAdmin类似。由于其轻量级的特性,只需一个...
pikachu靶场-7 不安全文件下载和上传
weixin_52180702的博客
12-13 1004
很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能会导致攻击者可以通过构造文件路径,从而获取到后台服务器上的其他的敏感文件。文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。
文件包含漏洞详解
good good study
03-05 5069
大多数情况下,文件包含函数中包含的代码文件是固定的,如上面中的include "./info.php"直接是写死了,因此也不会出现安全问题。但是,有些时候,文件包含的代码文件被写成了一个变量,且这个变量可以由前端用户传进来,这种情况下,如果没有做足够的安全考虑,则可能会引发文件包含漏洞。上面说了文件包含漏洞的成因是因为代码实现了动态包含且包含的路径可控,于是我们将代码进行修改为动态传参的一种方式,建立文件index.php,文件内容如下。文件包含是PHP 的基本功能之一,有本地文件包含和远程文件包含之分。
安全文件下载原理
gl620321的博客
05-09 1227
一.不安全文件下载和上传 1.不安全文件下载漏洞概述 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下...
PHP赋值函数的利用需求
weixin_33910460的博客
08-30 125
拿一段PHP代码来说 <?php class Site { /* 成员变量 */ var $url; var $title; /* 成员函数 */ function setUrl($par){ $this->url = $par; } function getUrl(){ echo $this-&...
文件操作之文件下载、文件读取
热门推荐
weixin_52657559的博客
12-10 2万+
文件下载读取漏洞原理以及如何查找,从而进行利用
IIS PUT漏洞&心脏滴血&任意文件读取与下载
niqiu320的博客
04-24 1094
IIS PUT漏洞
iis常见漏洞(中间件常见漏洞
qq_56438857的博客
08-17 8825
漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
Jetty WEB-INF文件读取漏洞怎么修复
05-21
Jetty WEB-INF 文件读取漏洞是指攻击者可以通过构造特定的 URL 访问应用程序内部的 WEB-INF 目录中的文件,从而获取敏感信息或者执行恶意操作的漏洞。修复该漏洞可以采取以下措施: 1. 在 Web 应用程序中添加一个安全过滤器,以确保只有经过身份验证的用户才能访问 WEB-INF 目录中的文件。 2. 将 WEB-INF 目录中的敏感文件移动到另一个目录中,并在 web.xml 文件中配置一个安全约束,以确保只有经过身份验证的用户才能访问这些文件。 3. 更新 Jetty 服务器版本,以修复该漏洞。 4. 关闭 Jetty 服务器目录列表功能,以防止攻击者通过目录遍历攻击来访问 WEB-INF 目录中的文件。 总之,修复 Jetty WEB-INF 文件读取漏洞需要综合考虑多种因素,包括应用程序架构、服务器配置等,选择最适合自己的方法进行修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿凯6666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值