前言
本人在近期實戰(zhàn)時也是挖到了任意文件下載漏洞�����,想著如何對此漏洞進行最大化利用��,遂花了點時間去學習此漏洞的利用�����,發(fā)現(xiàn)網(wǎng)上知識點過于分散���,正好看到社區(qū)這方面的知識很少,于是就想著自己寫一篇關于任意文件讀取的漏洞文章��。
漏洞原理
在目前的很多業(yè)務系統(tǒng)中��,很多上傳點都無法進行利用�����,最常見的就是上傳一個文件不返回上傳路徑�����,即使我們成功上傳了馬子也無法進行后續(xù)連接啊。雖然不返回路徑�����,但是我上傳的文件我應當可以進行讀取的�����,所以也就衍生出很多網(wǎng)站采用一個接口的方式進行文件的下載&讀取的需求�����,但是這種方式真的安全嗎�����?
在日常中�,我們經(jīng)常會遇到以下幾種下載文件的url格式
http://xxx.com/upload/xxx.pdf
http://xxx.com/readfile?id=1407
http://xxx.com/downfile?name=abc.pdf
首先說第一種url�,這種url存在的安全問題很少,如果非要測的話�,可以對后面的文件名和后綴進行Fuzz,從而在文件中獲取敏感信息等
接著第二種url格式��,這種url既然id參數(shù)可控,那么我們可以對此參數(shù)進行SQL注入����,服務器既然接收了id參數(shù),那么應該會對id參數(shù)進行數(shù)據(jù)庫查詢操作�����。如果這個id值有規(guī)律�����,那么也可以對id值進行遍歷操作�。
最后第三種url格式,此種安全問題就是可能存在任意文件下載漏洞�,也是本文著重講解的主要點。
在Linux和Windows系統(tǒng)中��,有點開發(fā)經(jīng)驗的師傅都知道��,在系統(tǒng)中可以用絕對路徑和相對路徑來表示一個文件的地址���,此處不作相對路徑和絕對路徑的講解���。./在系統(tǒng)中表示當前目錄�,../為當前目錄的上一級目錄����。這樣的話安全問題就顯而易見了,我們只需要在我們控制的文件名前加上 ../ 跳到上一級目錄��,然后一直跳就可以跳到根路徑了���,想下載&讀取需要的文件就可以造成任意文件讀取漏洞了��。
漏洞位置
根據(jù)功能點判斷
文件上傳后的返回url中��、文件下載功能��,文件預覽功能�,文件讀取功能
如果上訴功能點存在那么可以抓包根據(jù)下面的url判斷
根據(jù)url判斷
url中有以下這類關鍵詞的
download.php?path=
download.php?file=
down.php?file=
readfife.php?file=
read.php?filename=
繞過思路
1��、Fuzz文件
簡單粗暴����,但是burp發(fā)包的時候注意編碼問題�,取消勾選自動url編碼
2、url編碼繞過
|
|
|---|
| 使用 %2e 代替 . | ?name=%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd |
| 使用 %2f 代替 / | ?name=..%2f..%2f..%2f..%2f..%2fetc%2fpasswd |
| 使用 %2e%2e%2f 代替 ../ | ?name=%2e%2e%2f%2e%2e%2f%2e%2e%2f%2e%2e%2fetc%2fpasswd |
常用繞過一般是后兩種���,點一般不會被過濾�,因為文件名中間也會存在一個 .
3、二次編碼繞過
|
|
|---|
| 使用 %25%32%65 代替 . | ?name=%252e%252e/%252e%252e/%252e%252e/%252e%252e/etc/passwd |
| 使用 %25%32%66 代替 / | ?name=..%252f..%252f..%252f..%252f..%252fetc%252fpasswd |
| 使用 %25%32%65%25%32%65%25%32%66<br><br>代替 ../ | ?name=%252e%252e%252f%252e%252e%252f%252e%252e%252f%252e%252e%252fetc%252fpasswd |
4�、將 / 替換為 \ 繞過
5、%00繞過
?name=.%00./.%00./.%00./.%00./etc/passwd
6�、雙寫繞過
有些代碼會進行過濾,會把 ../ 置空�����,那么利用 ....// 代替 ../ ����,利用 ..// 代替 /
這種情況很少見,視情況而定
漏洞利用
Linux 系統(tǒng)下利用
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_ras.keystore
/root/.ssh/known_hosts
/etc/passwd
/etc/shadow
/etc/issue 系統(tǒng)版本
/etc/fstab
/etc/host.conf
/var/log/xferlog FTP會話�����,記錄拷貝了什么文件
/var/log/cron 計劃任務日志
/etc/(cron.d/|crontab) //這兩個也是定時任務文件
/var/log/secure 用戶登錄安全日志
/etc/rc.local 讀apache的路徑
/etc/motd
/etc/sysctl.conf
/var/log/syslog 記錄登陸錯誤時的密碼等信息
/etc/environment 環(huán)境變量配置文件 可能泄露大量目錄信息
/etc/inputrc 輸入設備配置文件
/etc/default/useradd 添加用戶的默認信息的文件
/etc/login.defs 是用戶密碼信息的默認屬性
/etc/skel 用戶信息的骨架
/sbin/nologin 不能登陸的用戶
/var/log/message 系統(tǒng)的日志文件
/etc/httpd/conf/httpd.conf 配置http服務的配置文件
/etc/mtab 包含當前安裝的文件系統(tǒng)列表 有時可以讀取到當前網(wǎng)站的路徑
/etc/ld.so.conf
/etc/my.cnf
/etc/httpd/conf/httpd.conf
/root/.bash_history 終端命令操作記錄
/root/.mysql_history
/proc/mounts
/porc/config.gz
/var/lib/mlocate/mlocate.db Linux系統(tǒng)全文件路徑數(shù)據(jù)庫
/porc/self/cmdline
tomcat/conf/server.xml tomcat連接數(shù)據(jù)庫的密碼配置文件
tomcat/webapps/ROOT/WEB-INF/classes/database.properties 同上
tomcat/conf/tomcat-users.xml tomcat管理員賬號密碼的配置文件
思路:
1����、讀取/etc/passwd 和/etc/shadow 進行撞庫解密,如果能解出來那么直接ssh登錄
2�、讀取/root/.ssh/id_rsa 等ssh登錄密鑰文件,從而通過密鑰免密登錄服務器
3、讀取/root/.bash_history 終端命令操作記錄����,進而從命令記錄中推測出web源碼位置,審計源碼進行getShell
4���、讀取數(shù)據(jù)庫配置信息�,遠程連接數(shù)據(jù)庫���,進行脫庫等操作
5��、讀取/var/lib/mlocate/mlocate.db 文件信息����,獲取全文件絕對路徑���,想下載啥就下啥了
...... 圍繞著如何拿權限和拿數(shù)據(jù)的角度去想就行了
總結:
以上一些利用思路�,核心思想不過與對數(shù)據(jù)的獲取或者是權限的獲取���,黑客的目的也不過如此,數(shù)據(jù)和權限這兩者其實是可以互相轉換的��,當一個無法進行利用時,那么可以轉換一下思路對另一個進行利用
Windows 系統(tǒng)利用
windows的這些路徑不一定都存在
C:\boot.ini //查看系統(tǒng)版本
C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件
C:\Windows\repair\sam //存儲系統(tǒng)初次安裝的密碼
C:\Program Files\mysql\my.ini //Mysql配置
C:\Program Files\mysql\data\mysql\user.MYD //Mysql root
C:\Windows\php.ini //php配置信息
C:\Windows\my.ini //Mysql配置信息
C:\Windows\win.ini //Windows系統(tǒng)的一個基本系統(tǒng)配置文件
由于windows服務器特性�����,可以分盤操作�,導致我們黑盒測試很難知道目標服務器是否存在其他盤符,即使知道了盤符也很難知道絕對路徑�,所以window系統(tǒng)很難利用此漏洞。
修復建議
1��、限定文件訪問范圍���,在php.ini等配置文件中配置open__basedir限定文件訪問范圍
2���、禁止客戶端傳遞../這些敏感字符
3、文件放在web無法直接訪問的目錄下�。
實戰(zhàn)案例
在點擊文件下載的時候發(fā)現(xiàn)url格式如圖所示,當輸入任意字符時會返回文件不存在���,如果輸入存在的文件名則會直接下載文件
因為服務器是Linux系統(tǒng)�����,所以我們可以讀取/etc/passwd文件來判斷是否存在漏洞�����。依次進行 ../ 跳目錄測試
發(fā)現(xiàn)測試了許久都是返回文件不存在����,那可以考慮當前web程序可能存在防護了,一般開發(fā)者在代碼層進行防護的話����,一般都是過濾掉 . / 這種字符進行防護,根據(jù)上面提到的方式進行繞過處理
單次編碼不行���,那就繼續(xù)在原來編碼的基礎上進行二次url編碼��,再測試一波����,最終也是驗證成功漏洞存在
驗證漏洞存在了�����,如果是在未授權的情況下進行利用�,那么可以直接提交漏洞了;如果在已授權情況下���,還想進一步對漏洞進行利用更深入���,那么可以考慮怎么進行更深入的利用呢。
我先是讀取/root/.bash_history 內(nèi)容���,根據(jù)命令操作拼接路徑����,先是下載了目標網(wǎng)站的源碼���,我也是從源碼中讀到一些數(shù)據(jù)庫賬號密碼等信息����,可惜都是內(nèi)網(wǎng)�����,我不能利用到�����。如果你是代碼審計大牛��,那么可以直接開始審計代碼,從代碼中挖掘漏洞�����,進行getShell��。很顯然我不是
后來我也是想著下載ssh公鑰文件等思路����,可惜的是,此目標網(wǎng)站只對外開放web服務端口�����,所以我無法進行其他服務的攻擊利用�����。
既然從目標中獲取權限不行��,那我轉換一下思路�,通過漏洞獲取數(shù)據(jù),再從獲得數(shù)據(jù)中提取信息�����,從而獲取系統(tǒng)的更高權限。
Linux下有mlocate.db文件����,此文件介紹如下,我可以下載這個文件�����,再從這個文件中獲取其他文件的絕對地址�,這樣的話我就可以下載到目標服務器上任意的文件了
將獲取到的全文件數(shù)據(jù)庫解出明文�����,然后從明文中翻找重要文件進行下載
在計算機中�����,重要文件��,無非就是數(shù)據(jù)和權限相關�����,所以我們主要找備份文件和數(shù)據(jù)庫文件
.rar����、.zip����、.7z�����、.tar��、.gz�����、.tar.gz�����、.bz2��、.tar.bz2��、.sql�、.bak、.dat、.txt�、.log、.mdb
在全文件路徑中搜索以上格式文件��,再重點關注一下不同路徑下的文件�����,因為Linux系統(tǒng)中不同文件夾的作用是不一樣的�,最后,我也是成功找到不少數(shù)據(jù)庫備份文件rdb
.rdb文件是redis數(shù)據(jù)庫的備份文件�����,后來也是從網(wǎng)上找了相關的rdb文件恢復工具——rdbtools成功將我下載下來的rdb文件恢復為明文格式 (數(shù)據(jù)庫備份文件一般無法直接打開��,需要一些其他手段恢復數(shù)據(jù)才可以)!
后來也是因為這提取的數(shù)據(jù)量過于龐大����,文件太大打開太卡了���,只能自己寫一個腳本提取數(shù)據(jù)了
最后也是成功將數(shù)據(jù)提取出來�,可見成功獲取到全站1.6W用戶數(shù)據(jù)����,一不小心就脫庫了呀����,事后本人也是提交了漏洞并將相關數(shù)據(jù)全部銷毀���。
原文來自:https://forum.butian.net/share/2664
該文章在 2025/5/14 10:03:22 編輯過
400 186 1886
