Baixar Princípios e caso
vulnerabilidades Introdução
Alguns sites, devido às necessidades de negócios, muitas vezes necessidade de fornecer documentos para ver ou baixar arquivos,
mas se os usuários visualizar ou baixar arquivos não limite, o usuário malicioso pode visualizar ou baixar quaisquer arquivos sensíveis,
este é o arquivo para visualizar e baixar vulnerabilidade.
uso
forma geral de ligações
download.php?path=
down.php?file=
data.php?file=
Ou contém parâmetros
&Src=
&Inputfile=
&Filepath=
&Path=
&Data=
uso geral idéias
(1) um perfil de download convencionais, por exemplo: SSH, weblogic, ftp, mysql como configuração
(2) .log baixar uma variedade de documentos, desde procurando algum endereço fundo, o site de upload de arquivos como o lugar, se você tiver sorte obter alguns antecessores da porta traseira.
(3) arquivos de negócios download da web caixa branca auditorias melhor aproveitamento servidores marcou. Qualquer arquivo na URL são todos nomes de arquivos correspondentes ao
tentar ler /root/.bash_history para ver se eles têm privilégios de root. Se não. Nós só pode usar ... passo a passo / salto para trás e para ler alguns arquivos de configuração em .ssh, arquivos de leitura .bash_history no mysql. Para ver se o registro algumas informações que podem ser utilizadas.
Em seguida, um por um, é preciso baixar o arquivo de código auditado, mas o tempo de download torna-se muito complicado, só podemos tentar adivinhar o diretório solução, e depois baixar o log para análise de alguns middleware.
Se encontrarmos é java ambiente + oracle
/WEB-INF/classes/applicationContext.xml pode baixar arquivos, há um registro correspondente na configuração do servidor web, e depois baixar descompilar o arquivo /WEB-INF/classes/xxx/xxx/ccc.class, em seguida, procurar upload de arquivo palavras-chave para ver se há algumas interfaces API, se qualquer estrutura de página de upload podemos usar interface api local para o nosso servidor de transferência de arquivo
Se você tem privilégios de root
Há uma localizar tal comando é usado para localizar o arquivo ou diretório, ele não procurar um diretório específico, mas procurando um /var/lib/mlocate/mlocate.db banco de dados em linux. Esta base de dados contém informações sobre todos os jornais locais. sistema Linux cria automaticamente o banco de dados e automaticamente atualizados uma vez por dia. Quando não sabemos em que circunstâncias é o caminho, isso pode ser considerado uma arma nuclear, e nós tirar vantagem de qualquer descarga brecha mlocate.db arquivo de download de arquivos, usando o comando de dados de saída localizar em um arquivo, que contém todo este caminho de arquivo informações .
localizar método de leitura:locate mlocate.db admin// mlocate.db pode ser incluído no nome do administrador conteúdo para saída total de arquivos
arquivo de uso comum
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts //记录每个访问计算机用户的公钥
/etc/passwd
/etc/shadow
/etc/my.cnf //mysql配置文件
/etc/httpd/conf/httpd.conf //apache配置文件
/root/.bash_history //用户历史命令记录文件
/root/.mysql_history //mysql历史命令记录文件
/proc/mounts //记录系统挂载设备
/porc/config.gz //内核配置文件
/var/lib/mlocate/mlocate.db //全文件路径
/porc/self/cmdline //当前进程的cmdline参数
A razão de lacunas
Quando o atacante clique no link de download, ele irá enviar um pedido de transferência para o fundo, conterão geralmente um nome de arquivo, mas não se o fundo do parâmetro de nome de arquivo transmitido do usuário envia os cheques de filtro diretamente no arquivo executável para download, resultando em um atacante pode construir arbitrária caminho do diretório de arquivos, fazer download de qualquer arquivo em qualquer caminho
correções de bugs
(1) Filtrar. "", Para que o usuário não pode voltar no diretório url pai
(2) determinar o formato de parâmetros de entrada do usuário estritamente regulares
open_basedir definição (3) Faixa de acesso php.ini arquivo de configuração
