任意文件查看与下载漏洞
一些网站的业务需求,可能提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源代码文件,敏感文件等等
形成漏洞的原因
- 存在读取文件的函数
- 读取文件的路径用户可控且未校验或校验不严格
- 输出了文件内容
漏洞危害
下载服务器任意文件,包含脚本代码文件,系统敏感文件等,可以配合其他类型的漏洞,进一步代码审计,查找更多可利用的代码
漏洞的分类
- 任意文件的读取
- 任意文件下载
任意文件的读取
查看源代码
$filename=$_GET[f];当读取文件释义传参的形式输入那么用户就可控
$filename没有经过校验,或者校验不严格,用户可以空hi这个变量读取任意的文件,比如/etc/passwd等等,这样就造成了任意文件的读取漏洞
读取盘符文件内容
任意文件下载
两种文件下载方式
直接下载:常见是直接再url地址后面跟上文件压缩包
<a href=”http://localhost/password.rar”>下载</a>?? 这种方式无漏洞
?????? 附件下载
查看源代码:
$filename没有经过校验,或者校验不严格,用户可以控制这个变量下载任意文件比如/etc/passwd,这样就造成了任意文件下载漏洞
任意文件下载和查看漏洞挖掘
- web漏洞扫描器(awvs、appscan、nessus)
- 手动挖掘?? 从链接和参数名查看
漏洞验证
Index.php?f=../../../../../etc/passwd
Index.php?f=../index.php
Index.php?f=file://etc/passwd
当参数f的参数值为php文件时:
- 若文件被解析则是文件包含漏洞
- 若是显示源码,则是文件查看漏洞
- 提示下载则是文件下载漏洞
漏洞修复的方案
- 过滤(.)使用户在url中不能回溯上级目录
- 正则严格判断用户输入的参数
- Php.ini配置open_basedir限定文件访问范围