一文搞懂文件下载·读取漏洞
- 1.概述
- 2.利用思路
- 3.常见文件
- Windows
- Linux
- 4.不安全的文件下载绕过手法
- 5.修复建议
1.概述
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
例如此时如果攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd
),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载
所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑
常见功能点:读取/下载图片、文件内容;下载附件;预览文档;导出文档;修改、保存文档等
如果在测试过程中发现这些参数,可以多留意分析尝试:
&RealPath=
&FilePath=
&file=
&filename=
&Path=
&path=
&inputFile=
&url=
&urls=
&Lang=
&dis=
&data=
&readfile=
&filep=
&src=
&menu=
&META-INF=
&WEB-INF=
2.利用思路
- 查看常规的配置文件,如ssh、数据库、ftp等
- 查看常规的包含敏感信息的文件,如各用户的
.bash_history
等 - 查看网站日志
access.log
,找找网站后台、用户密码、别人的shell等 - 查看源代码进行审计
总体来说,就是到处翻文件,找对我们渗透有帮助的文件获取信息即可🏸
3.常见文件
Windows
C:\windows\win.ini //可以用来判断是否为windows系统
C:\boot.ini //查看系统版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS 配置文件
C:\Windows\repair\sam //存储系统初次安装的密码
C:\Program Files\mysql\my.ini //Mysql 配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php 配置信息
C:\Windows\my.ini //Mysql 配置信息# 需要管理员权限
%ProgramData%\Microsoft\Search\Data\Applications\Windows\Windows.edb
%ProgramData%\Microsoft\Search\Data\Applications\Windows\GatherLogs\SystemIndex 目录下文件名类似SystemIndex.[数字序号].gthr%systemroot%\System32\winevt\Logs目录下的evtx日志文件,名字固定如下
Application.evtx
ConnectionInfo.evtx
Error.evtx
HardwareEvents.evtx
Internet Explorer.evtx
Key Management Service.evtx
Media Center.evtx
Microsoft-Windows-API-Tracing%4Operational.evtx
Microsoft-Windows-AppID%4Operational.evtx
Microsoft-Windows-Application Server-Applications%4Admin.evtx
Microsoft-Windows-Application Server-Applications%4Operational.evtx
Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx
Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx
Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx
Microsoft-Windows-Application-Experience%4Program-Inventory.evtx
Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx# 不需要管理员权限
%userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt # 类似.bash_history
%userprofile%\appdata\local\iconcache.db # 类似locate的db文件
Linux
/etc/passwd
/etc/shadow
/etc/hosts
/var/lib/mlocate/mlocate.db // locate命令的索引数据库文件,每天更新一次,大宝贝
/root/.bash_history //root 的 bash 历史记录
/root/.mysql_history //mysql 的 bash 历史记录
/root/.wget-hsts
/opt/nginx/conf/nginx.conf //nginx 的配置文件
/var/www/html/index.html
/etc/redis.conf
/etc/my.cnf
/etc/httpd/conf/httpd.conf //httpd 的配置文件
/proc/self/fd/fd[0-9]*(文件标识符)
/proc/mounts
/porc/config.gz
/proc/sched_debug // 提供 cpu 上正在运行的进程信息,可以获得进程的 pid 号,可以配合后面需要 pid的利用
/proc/mounts // 挂载的文件系统列表
/proc/net/arp //arp 表,可以获得内网其他机器的地址
/proc/net/route //路由表信息
/proc/net/tcp and /proc/net/udp // 活动连接的信息
/proc/net/fib_trie // 路由缓存
/proc/version // 内核版本
/proc/[PID]/cmdline // 可能包含有用的路径信息
/proc/[PID]/environ // 程序运行的环境变量信息,可以用来包含 getshell
/proc/[PID]/cwd // 当前进程的工作目录
/proc/[PID]/fd/[#] // 访问 file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log
其会去保存文档和目录名称到数据库内(这个数据库中含有本地所有文件信息。Linux系统自动创建这个数据库,并且每天自动更新一次),然后查找合乎范本样式条件的文档或目录。一般这个数据库的位置在:# ssh相关
/root/.ssh/id_rsa
/root/.ssh/id_rsa.pub
/root/.ssh/authorized_keys
/root/.ssh/known_hosts //记录每个访问计算机用户的公钥
/etc/ssh/sshd_config
/var/log/secure
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/syscomfig/network-scripts/ifcfg-eth1
4.不安全的文件下载绕过手法
- 双写:适用于对
../
置空的情况,如..././config
去掉../
的结果为../config
- 编码:URL编码、两次URL编码、十六进制编码等;URL编码一般后端会解析一次,其他的编码需要分析服务端是否会进行解析
- HPP、分块传输、填充垃圾字符:比较通用
5.修复建议
- 在配置文件中限制访问的文件目录
- 检查用户输入,过滤或转义含有
../
、..\
、%00
,..
,./
,#
等跳转目录或字符终止符、截断字符的输入 - 严格过滤用户输入字符的合法性,比如文件类型、文件地址、文件内容等
- 白名单限定访问文件的目录、路径、名称
- 白名单限定访问文件的后缀如
jpg、gif、png、rar、zip、pdf、doc、xls、ppt
等