目录
本文通过《webug4.0靶场第15关任意文件下载》来进行渗透实战。文件下载是指 Web 应用程序在处理文件下载功能时,由于代码逻辑缺陷或安全措施不足,导致用户可以非法下载服务器上的敏感文件。
一、文件下载
二、第15关 任意文件下载
1、打开靶场
打开webug4靶场的第15关任意文件下载,完整URL地址以及页面如下所示。
http://192.168.71.1/webug4/control/filedownload/file_download.php
如上所示可以对文件进行下载,可能存在任意文件文件下载,复制txt文件的下载地址,参数为file,可以通过指定下载路径来下载文件,如下所示。
http://192.168.71.1/webug4/control/filedownload/file_download.php?file=template/assets/img/1.txt
http://192.168.71.1/webug4/control/filedownload/file_download.php?file=template/assets/img/2.txt2、源码分析
如下所示,对参数file未做任何过滤, 直接使用fread进行处理,存在任意文件下载,如下所示filepath就是相对路径,因为是与ROOTPATH拼接而成。
<?php
// 引入通用文件,通常包含一些常用函数和配置
require_once "../../common/common.php";
// 检查用户是否登录,未登录则重定向到登录页面
if (!isset($_SESSION['user'])) {
header("Location:../login.php");
}
// 检查是否有文件参数通过GET方式传递
if (isset($_GET["file"])) {
// 检查文件参数是否非空
if (!empty($_GET["file"])) {
// 构建完整文件路径:根路径 + 请求的文件路径
$filePath = ROOTPATH. $_GET['file'];
// 获取文件扩展名(取路径最后4个字符,这种方式不太可靠)
$fileName = substr($filePath, -4);
// 检查文件是否存在
if (file_exists($filePath)) {
// 以二进制模式打开文件
$file = fopen($filePath, 'rb');
// 设置HTTP响应头,指定内容类型为二进制流
Header("Content-type: application/octet-stream");
// 允许客户端断点续传
Header("Accept-Ranges: bytes");
// 告诉浏览器文件大小
Header("Accept-Length: " . filesize($filePath));
// 设置下载文件名,固定前缀"a"加上文件扩展名
header('Content-Disposition: attachment; filename=a'.$fileName);
// 读取文件内容并输出
echo fread($file, filesize($filePath));
// 关闭文件句柄
fclose($file);
// 终止脚本执行
exit();
}
}
}
// 如果不符合下载条件,则加载文件下载页面模板
require_once TPMELATE."/file_download.html";这段 PHP 代码实现了一个 文件下载功能,主要流程如下:
(1)用户认证检查
检查用户是否已登录(通过
$_SESSION['user']判断)如果未登录,则重定向到登录页面(
../login.php)
(2)文件下载处理
检查是否有
file参数通过GET方式传递(如?file=path/to/file.txt)如果参数存在且非空:
构建完整文件路径:
ROOTPATH + $_GET['file'](根目录 + 用户请求的文件路径)获取文件扩展名(取路径最后 4 个字符,但此方法不严谨)
检查文件是否存在(
file_exists())下载文件:
以二进制模式打开文件(
rb)设置 HTTP 响应头:
Content-type: application/octet-stream(表示二进制流下载)Accept-Ranges: bytes(支持断点续传)Accept-Length: filesize(告诉浏览器文件大小)Content-Disposition: attachment; filename=a[扩展名](强制下载,文件名格式为a.txt、a.jpg等)
读取文件内容并输出(
fread())关闭文件句柄(
fclose())终止脚本(
exit())
(3)默认页面
如果没有
file参数或文件不存在,则加载file_download.html模板显示下载界面)
3、渗透实战
如下所示,文件的下载路径相对路径的目录为template的上一层目录,也就是webug根目录。
file=template/assets/img/2.txt考虑构造如下文件的访问路径。
构造如下相对路径。
file=sql/webug.sql
file=sql/webug_sys.sql
file=sql/webug_width_byte.sql如下所示,渗透成功,可以进行任意文件下载。
如下所示,下载当前file_download.php文件,可以渗透成功。
file=control/filedownload/file_download.php
三、防御方法
文件下载可能导致以下问题。
- 敏感信息泄露:攻击者可利用下载包含敏感信息的文件,如用户账号密码、财务数据、企业机密文档等,进而造成信息泄露,给个人或企业带来严重损失。
- 系统被恶意篡改:通过下载恶意文件并执行,攻击者能够篡改系统文件、配置信息等,使系统功能异常或出现安全隐患,影响系统的正常运行。
- 植入恶意软件:下载的恶意文件可能是病毒、木马、蠕虫等恶意软件,它们会在用户设备或服务器上安装并运行,窃取数据、控制设备或发动进一步的攻击。
- 网站被挂马:攻击者利用文件下载将恶意脚本或代码植入网站,使访问该网站的用户受到攻击,导致用户信息泄露或设备被控制。
- 服务中断:若关键系统文件被非法下载或破坏,可能导致服务器服务中断,影响业务的正常开展,给企业带来经济损失和声誉损害。
- 权限提升:攻击者可能通过下载特定文件,获取系统权限提升的方法,进而控制整个系统,获取更高权限的敏感信息和操作权限。
为有效预防文件下载,可从输入验证、文件存储管理、安全配置、日志监控等多个方面采取措施。
| 预防层面 | 具体措施 | 简要说明 |
|---|---|---|
| 输入验证 | 白名单验证 | 限定合法文件名、类型及路径,仅允许下载白名单内文件 |
| 路径验证 | 严格校验文件路径,防止目录遍历攻击,避免直接用用户输入拼接路径 | |
| 文件存储管理 | 文件隔离 | 将可下载文件与敏感数据分开放置,设置合理访问权限 |
| 文件名处理 | 规范文件名,剔除特殊字符,防止恶意篡改 | |
| 安全配置 | HTTP 头设置 | 通过设置 Content-Disposition 等头信息,确保文件以安全方式下载 |
| CSP 策略 | 利用内容安全策略,限制页面资源加载来源,防范恶意文件执行 | |
| 日志监控与审计 | 日志记录 | 记录文件下载请求相关信息,便于追溯异常行为 |
| 实时监控 | 借助 IDS 或 IPS 实时监测,及时阻断可疑下载操作 | |
| 代码管理 | 代码审查 | 定期检查文件下载功能代码,排查验证不严格等 |
| 安全测试 | 运用工具与手动测试结合,全面检测潜在安全隐患 |