在文件下载操作中,文件名及路径由客户端传入的参数控制,并且未进行有效的过滤,导致用户可恶意下载任意文件。

 0x01 客户端下载

常见于系统中存在文件(附件/文档等资源)下载的地方。

漏洞示例代码:

.    <?php

.        $filename = $_GET['filename'];

.        echo file_get_contents($filename);

.        header('Content-Type: imgage/jpeg');

.        header('Content-Disposition: attachment; filename='.$filename);

.        header('Content-Lengh: '.filesize($filename));

.    ?>

文件名用户可控,导致存在任意文件下载漏洞,攻击者提交url:

  1. test.php?filename=test.php

即可下载test.php源码,可实现跨目录下载系统中的任意文件。

 0x02 服务端下载

常见于系统第三方补丁升级/插件安装、远程图片本地化。

任意文件读取

漏洞示例代码:

<?php

    $filename = $_GET['filename'];

    readfile($filename);

?>

可以看到参数并未进行任何过滤或处理,直接导入readfile函数中执行,导致程序在实现上存在任意文件读取漏洞。

相对路径  物理路径  fuzz

Windows:

   C:\boot.ini  //查看系统版本

   C:\Windows\System32\inetsrv\MetaBase.xml  //IIS配置文件

   C:\Windows\repair\sam  //存储系统初次安装的密码

   C:\Program Files\mysql\my.ini  //Mysql配置

   C:\Program Files\mysql\data\mysql\user.MYD  //Mysql root

   C:\Windows\php.ini  //php配置信息

   C:\Windows\my.ini  //Mysql配置信息

   ...

Linux:

   /root/.ssh/authorized_keys

   /root/.ssh/id_rsa

   /root/.ssh/id_ras.keystore

   /root/.ssh/known_hosts

   /etc/passwd             查看用户文件文件

   /etc/shadow             查看密码文件

   /etc/my.cnf

   /etc/httpd/conf/httpd.conf   查看apache的配置文件

   /root/.bash_history          查看历史命令

   /root/.mysql_history

   /proc/self/fd/fd[-]*(文件标识符)

   /proc/mounts

   /porc/config.gz

index.php?f=../../../../../../etc/passwd

  1. /root/.ssh/authorized_keys

  2. /root/.ssh/id_rsa

  3. /root/.ssh/id_ras.keystore

  4. /root/.ssh/known_hosts //记录每个访问计算机用户的公钥

  5. /etc/passwd

  6. /etc/shadow

  7. /etc/my.cnf //mysql配置文件

  8. /etc/httpd/conf/httpd.conf //apache配置文件

  9. /root/.bash_history //用户历史命令记录文件

  10. /root/.mysql_history //mysql历史命令记录文件

  11. /proc/mounts //记录系统挂载设备

  12. /porc/config.gz //内核配置文件

  13. /var/lib/mlocate/mlocate.db //全文件路径

  14. /porc/self/cmdline //当前进程的cmdline参数





修复建议:要下载的文件地址保存至数据库中。文件路径保存至数据库,让用户提交文件对应ID下载文件。


参考链接:https://wenku.baidu.com/view/4f8e19e0b1717fd5360cba1aa8114431b90d8ee0.html
												


											
PHP代码审计笔记--任意文件下载漏洞的更多相关文章
	

    
								
  1. 【代码审计】XYHCMS V3.5任意文件下载漏洞分析
		
      0x00 环境准备 XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:http://www.xyhc ...
    
		
    2. 
						
  2. 【代码审计】CLTPHP_v5.5.3后台任意文件下载漏洞分析
		
      0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...
    
		
    3. 
						
  3. 【代码审计】ThinkSNS_V4 任意文件下载漏洞分析
		
      0x00 环境准备 ThinkSNS官网:http://www.thinksns.com 网站源码版本:ThinkSNS V4  更新时间:2017-09-13 程序源码下载:http://www ...
    
		
    4. 
						
  4. 【代码审计】EasySNS_V1.6 前台任意文件下载漏洞分析
		
      0x00 环境准备 EasySNS官网:http://www.imzaker.com/ 网站源码版本:EasySNS极简社区V1.60 程序源码下载:http://es.imzaker.com/i ...
    
		
    5. 
						
  5. 代码审计-(Ear Music).任意文件下载漏洞
		
    0x01 代码分析 后台地址:192.168.5.176/admin.php admin admin 安装后的界面 在后台发布了一首新歌后,前台点进去到一个“下载LRC歌词”功能点的时候发现是使用re ...
    
		
    6. 
						
  6. 任意文件下载漏洞的接口URL构造分析与讨论
		
    文件下载接口的URL构造分析与讨论 某学院的文件下载接口 http://www.****.edu.cn/item/filedown.asp?id=76749&Ext=rar&fname ...
    
		
    7. 
						
  7. 代码审计-phpcms9.6.2任意文件下载漏洞
		
    漏洞文件: phpcms\modules\content\down.php 1.在download函数中对文件的校验部分 首先 if(preg_match('/(php|phtml|php3|php4 ...
    
		
    8. 
						
  8. ASP代码审计学习笔记 -5.文件下载漏洞
		
    文件下载漏洞 漏洞代码: <% function download(f,n) on error resume next Set S=CreateObject("Adodb.Stream ...
    
		
    9. 
						
  9. dzzoffice 任意文件下载漏洞分析
		
    dzzoffice 任意文件下载 \updload\dzz\system\save.php第72行开始:    elseif($_GET['do']=='move'){    $obz=trim($_ ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. node学习笔记7——npm安装包
			
    npm:Nodejs Package Manager(Nodejs包管理器).它有什么作用呢? 1.包统一下载途径: 2.自动下载依赖. 如何安装呢? 命令:npm install *** 比如我们要 ...
    
			
    2. 
						
  2. PHP 打乱数组
			
    $arr = array( array( "id"=>1, "name"=>"张三", "sex"=> ...
    
			
    3. 
						
  3. JS中eval处理JSON数据 为什么要加括号
			
    由于Ajax的兴起,JSON这种轻量级的数据格式作为客户端与服务器之间的传输格式逐渐地流行起来,进而出现的问题是如何将服务器端构建好的JSON数据转化为可用的JavaScript对象.利用eval函数 ...
    
			
    4. 
						
  4. Pandas 的轴向连接 concat
			
    在pandas里面,另一种数据何必运算也被称为连接(concatenation).绑定(binding)或堆叠(stacking). Numpy的轴向连接, concatenation Numpy有一 ...
    
			
    5. 
						
  5. tpshop商品属性表关系
			
    TPshop 里面的商品属性, 首先看看TPshop商品详情中的属性介绍, 纯展示给用户看的. 再来tpshop看看商品列表帅选页面的属性,可以根据属性帅选不同的商品 再来看看tpshop后台属性管理 ...
    
			
    6. 
						
  6. 嵌入式开发之zynq驱动—— zynq ps pl ddr 内存地址空间映射
			
    http://www.wiki.xilinx.com/Zynq-7000+AP+SoC+-+32+Bit+DDR+Access+with+ECC+Tech+Tip http://patchwork.o ...
    
			
    7. 
						
  7. (转)ffmpeg 从mp4上提取H264的nalu
			
     出自:http://blog.csdn.net/gavinr/article/details/7183499   1.获取数据ffmpeg读取mp4中的H264数据,并不能直接得到NALU,文件中也 ...
    
			
    8. 
						
  8. (转)在公司的局域网使用git或github 设置代理
			
    目录 [hide] 1 生成SSH Key 2 git使用http访问 3 git使用ssh进行访问 在公司这样的局域网环境中,向要走网络必须走HTTP代理出去.不能直接访问外面的服务,所以这样安全了 ...
    
			
    9. 
						
  9. keystone源码分析(一)——Paste Deploy的应用
			
    本keystone源码分析系列基于Juno版Keystone,于2014年10月16日随Juno版OpenStack发布. Keystone作为OpenStack中的身份管理与授权模块,主要实现系统用 ...
    
			
    10. 
						
  10. js获取网页的url文件名( 例如index.aspx),js获取url的参数(例如获取 ?cid=joeylee的值),给jquery拓展方法
			
      <script type="text/javascript"> var JsRequest={ //这就是一个静态类,类里面有2个静态方法 //方法一:获取url的 ...
    
			
    11.