- 🤟 基于入门网络安全打造的:👉黑客&网络安全入门&进阶学习资源包
理论基础
-
任意文件下载漏洞介绍
一些网站由于业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,攻击者就能够通过回溯符
../
或绝对路径跳转到任意目录查看或下载任意的文件;这可能是代码源文件,敏感配置文件等等,在特定的场景下,还可能造成SSRF漏洞。 -
漏洞成因
- 由于没有对用户输入的文件名进行过滤,而造成用户输入的文件名可以通过…/实现路径穿越来访问其他目录下的文件并下载。
- 一些应用或者服务器可能配置存在问题,导致可以直接回溯目录读取任意文件。
- 通过将非法路径文件写入数据库再调用进行二次利用,形似二次注入。
-
常见攻击点(测试点)
功能上:读取/下载图片、文件内容;下载附件;预览文档;导出文档;修改、保存文档等。
路径上:
download.xxx?xxx=
、down.xxx?xxx=
、getfile.xxx?xxx=
、data.php?xxx=
等。参数上:
RealPath=
、FilePath=
、file=
、filename=
、Path=
、path=
、getFile=
、url=
、urls=
、Lang=
、dis=
、data=
、readfile=
、filep=
、src=
、menu=
、META-INF=
、&WEB-INF=
等。 -
利用思路
- 查看常规的配置文件,如
ssh
、数据库
、ftp
等 - 查看常规的包含敏感信息的文件,如
各用户的.bash_history
等 - 查看网站日志
access.log
,找找网站后台、用户密码、别人的shell等 - 查看源代码进行审计
- …
- 查看常规的配置文件,如
-
常见绕过方式
- 双写:适用于对
../
置空的情况,如..././config
去掉../
的结果为../config
。 - 编码:URL编码、两次URL编码、十六进制编码等;URL编码一般后端会解析一次,其他的编码需要分析服务端是否会进行解析。
- 路径穿越+截断:当代码中固定文件后缀名时,可以使用\0字符来截断后缀名。
- HPP、分块传输、填充垃圾字符等。
- 双写:适用于对
-
任意文件下载漏洞防御
- 在配置文件中限制访问的文件目录。
- 检查用户输入,过滤或转义含有
../
、..\
、%00
,..
,./
,#
等跳转目录或字符终止符、截断字符的输入。 - 严格过滤用户输入字符的合法性,比如文件类型、文件地址、文件内容等。
- 白名单限定访问文件的目录、路径、名称。
- 白名单限定访问文件的后缀如jpg、gif、png、rar、zip、pdf、doc、xls、ppt等。
-
其他学习文章
实践学习
漏洞环境以Pilot靶场为例:下载地址与部署教程
-
进入漏洞页面,抓包并下载任意文件:
-
发现参数
file
传入了文件名,尝试穿越目录下载任意文件:
附录:常见攻击路径
-
WINDOWS
C:\windows\win.ini //可以用来判断是否为windows系统 C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件 C:\Windows\repair\sam //存储系统初次安装的密码 C:\Program Files\mysql\my.ini //Mysql 配置 C:\Program Files\mysql\data\mysql\user.MYD //Mysql root C:\Windows\php.ini //php 配置信息 C:\Windows\my.ini //Mysql 配置信息 # 需要管理员权限 %ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb %ProgramData%\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex 目录下文件名类似SystemIndex.[数字序号].gthr %systemroot%\System32\winevt\Logs目录下的evtx日志文件,名字固定如下 Application.evtx ConnectionInfo.evtx Error.evtx HardwareEvents.evtx Internet Explorer.evtx Key Management Service.evtx Media Center.evtx Microsoft-Windows-API-Tracing%4Operational.evtx Microsoft-Windows-AppID%4Operational.evtx Microsoft-Windows-Application Server-Applications%4Admin.evtx Microsoft-Windows-Application Server-Applications%4Operational.evtx Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx Microsoft-Windows-Application-Experience%4Program-Inventory.evtx Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx .........省略 # 不需要管理员权限 %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt # 类似.bash_history %userprofile%\appdata\local\iconcache.db # 类似locate的db文件
-
LINUX
/etc/passwd /etc/shadow /etc/hosts /var/lib/mlocate/mlocate.db // locate命令的索引数据库文件,每天更新一次,大宝贝 /root/.bash_history //root 的 bash 历史记录 /root/.mysql_history //mysql 的 bash 历史记录 /root/.wget-hsts /opt/nginx/conf/nginx.conf //nginx 的配置文件 /var/www/html/index.html /etc/redis.conf /etc/my.cnf /etc/httpd/conf/httpd.conf //httpd 的配置文件 /proc/self/fd/fd[0-9]*(文件标识符) /proc/mounts /porc/config.gz /proc/sched_debug // 提供 cpu 上正在运行的进程信息,可以获得进程的 pid 号,可以配合后面需要 pid的利用 /proc/mounts // 挂载的文件系统列表 /proc/net/arp //arp 表,可以获得内网其他机器的地址 /proc/net/route //路由表信息 /proc/net/tcp and /proc/net/udp // 活动连接的信息 /proc/net/fib_trie // 路由缓存 /proc/version // 内核版本 /proc/[PID]/cmdline // 可能包含有用的路径信息 /proc/[PID]/environ // 程序运行的环境变量信息,可以用来包含 getshell /proc/[PID]/cwd // 当前进程的工作目录 /proc/[PID]/fd/[#] // 访问 file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log 其会去保存文档和目录名称到数据库内(这个数据库中含有本地所有文件信息。Linux系统自动创建这个数据库,并且每天自动更新一次),然后查找合乎范本样式条件的文档或目录。一般这个数据库的位置在: # ssh相关 /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /root/.ssh/known_hosts //记录每个访问计算机用户的公钥 /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
-
其他服务路径
/NetServer\bin\stable\apache\php.ini /NetServer\bin\stable\apache\php.ini%00 /PHP\php.ini /PHP\php.ini%00 /Program Files\Apache Group\Apache2\conf\httpd.conf /Program Files\Apache Group\Apache2\conf\httpd.conf%00 /Program Files\Apache Group\Apache\conf\httpd.conf /Program Files\Apache Group\Apache\conf\httpd.conf%00 /Program Files\Apache Group\Apache\logs\access.log /Program Files\Apache Group\Apache\logs\access.log%00 /Program Files\Apache Group\Apache\logs\error.log /Program Files\Apache Group\Apache\logs\error.log%00 /Program Files\xampp\apache\conf\httpd.conf /Program Files\xampp\apache\conf\httpd.conf%00 /Volumes/Macintosh_HD1/opt/apache/conf/httpd.conf /Volumes/Macintosh_HD1/opt/apache/conf/httpd.conf%00 /Volumes/Macintosh_HD1/opt/apache2/conf/httpd.conf /Volumes/Macintosh_HD1/opt/apache2/conf/httpd.conf%00 /Volumes/Macintosh_HD1/opt/httpd/conf/httpd.conf /Volumes/Macintosh_HD1/opt/httpd/conf/httpd.conf%00 /Volumes/Macintosh_HD1/usr/local/php/httpd.conf.php /Volumes/Macintosh_HD1/usr/local/php/httpd.conf.php%00 /Volumes/Macintosh_HD1/usr/local/php/lib/php.ini /Volumes/Macintosh_HD1/usr/local/php/lib/php.ini%00 /Volumes/Macintosh_HD1/usr/local/php4/httpd.conf.php /Volumes/Macintosh_HD1/usr/local/php4/httpd.conf.php%00 /Volumes/Macintosh_HD1/usr/local/php5/httpd.conf.php /Volumes/Macintosh_HD1/usr/local/php5/httpd.conf.php%00 /Volumes/webBackup/opt/apache2/conf/httpd.conf /Volumes/webBackup/opt/apache2/conf/httpd.conf%00 /Volumes/webBackup/private/etc/httpd/httpd.conf /Volumes/webBackup/private/etc/httpd/httpd.conf%00 /Volumes/webBackup/private/etc/httpd/httpd.conf.default /Volumes/webBackup/private/etc/httpd/httpd.conf.default%00 /WINDOWS\php.ini /WINDOWS\php.ini%00 /WINNT\php.ini /WINNT\php.ini%00C:\WINDOWS\php.ini C:\WINDOWS\win.ini C:\WINNT\php.ini C:\boot.ini \Program Files (x86)\Apache Group\Apache\logs\access.log \Program Files (x86)\Apache Group\Apache\logs\error.log \Program Files\Apache Group\Apache2\conf\httpd.conf \Program Files\Apache Group\Apache\conf\httpd.conf \Program Files\Apache Group\Apache\logs\access.log \Program Files\Apache Group\Apache\logs\error.log \Program Files\xampp\apache\conf\httpd.conf \apache2\log\access.log \apache2\log\access_log \apache2\log\error.log \apache2\log\error_log \apache2\logs\access.log \apache2\logs\access_log \apache2\logs\error.log \apache2\logs\error_log \apache\log\access.log \apache\log\access_log \apache\log\error.log \apache\log\error_log \apache\logs\access.log \apache\logs\access_log \apache\logs\error.log \apache\logs\error_log \log\access.log \log\access_log \log\error.log \log\error_log \log\httpd\access_log \log\httpd\error_log \logs\access.log \logs\access_log \logs\error.log \logs\error_log \logs\httpd\access_log \logs\httpd\error_log \mysql\bin\my.ini \opt\xampp\logs\access.log \opt\xampp\logs\access_log \opt\xampp\logs\error.log \opt\xampp\logs\error_log \xampp\FileZillaFTP\FileZilla Server.xml \xampp\FileZillaFTP\Logs \xampp\FileZillaFTP\Logs\access.log \xampp\FileZillaFTP\Logs\error.log \xampp\MercuryMail\LOGS\access.log \xampp\MercuryMail\LOGS\error.log \xampp\MercuryMail\mercury.ini \xampp\apache\conf\httpd.conf \xampp\apache\logs\access.log \xampp\apache\logs\error.log \xampp\mysql\data\mysql.err \xampp\phpMyAdmin\config.inc \xampp\phpMyAdmin\config.inc.php \xampp\phpMyAdmin\phpinfo.php \xampp\php\php.ini \xampp\phpmyadmin\config.inc \xampp\phpmyadmin\config.inc.php \xampp\phpmyadmin\phpinfo.php \xampp\sendmail\sendmail.ini \xampp\sendmail\sendmail.log \xampp\tomcat\conf\tomcat-users.xml \xampp\tomcat\conf\web.xml \xampp\webalizer\webalizer.conf \xampp\webdav\webdav.txt php://input
给大家的福利
- 🤟 基于入门网络安全打造的:👉黑客&网络安全入门&进阶学习资源包
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
2️⃣视频配套资料&国内外网安书籍、文档
① 文档和书籍资料
② 黑客技术
因篇幅有限,仅展示部分资料
4️⃣网络安全面试题
5️⃣汇总
所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~