想要挖掘一個(gè)漏洞我們首先就要知道這個(gè)漏洞是如何產(chǎn)生的。

1.漏洞產(chǎn)生原理

文件下載處沒有對(duì)用戶請(qǐng)求的文件類型和下載路徑進(jìn)行過濾。導(dǎo)致用戶通過路徑回溯符../等相關(guān)操作，跳出了程序本身的限制目錄，然后再利用文件下載功能，使前端下載請(qǐng)求可以下載服務(wù)器中的任意文件。

2.漏洞利用

找到一個(gè)沒有做過濾的文件下載功能，利用../ ../來逐層猜測(cè)路徑,如…/…/…/etc/passwd),則很有可能會(huì)直接將該指定的文件下載下來。

3.案例

使用http://down.znds.com講解

進(jìn)入網(wǎng)站找到一個(gè)可以下載的軟件，在下載按鈕處右鍵 復(fù)制鏈接地址 就能得到軟件下載地址：http://down.znds.com/getdownurl/?s=L2Rvd24vMjAyMjA5MjIvdHhzcDE2MTU4XzEwLjUuMC4xMDA5X2RhbmdiZWkuYXBr

可以發(fā)現(xiàn)下載地址s參數(shù)有base64加密，我們使用解密工具解密得到/down/20220922/txsp16158_10.5.0.1009_dangbei.apk，下載地址就是：http://down.znds.com/getdownurl/?s=/down/20220922/txsp16158_10.5.0.1009_dangbei.apk

那么我們此時(shí)就可以使用文件下載漏洞，如果http://down.znds.com下面有一個(gè)index.php文件，我們想下載他，那么我們就可以先對(duì)/index.php文件進(jìn)行base64編碼得到L2luZGV4LnBocA==，然后將編碼放到下載地址的s參數(shù)后得到http://down.znds.com/getdownurl/?s=L2luZGV4LnBocA==，使用瀏覽器訪問就可以成功下載index.php文件。前提是網(wǎng)站未做過濾或者過濾可以繞過。

4.危害

可以下載服務(wù)器的任意文件

獲得網(wǎng)站web源碼，再對(duì)代碼進(jìn)行審計(jì)，以獲得更多的漏洞

獲得網(wǎng)站、服務(wù)器、系統(tǒng)、數(shù)據(jù)庫等中間件配置文件

獲得應(yīng)用于系統(tǒng)配置文件

對(duì)內(nèi)網(wǎng)的信息進(jìn)行一個(gè)探測(cè)

下載各種.log文件，并尋找后臺(tái)地址、文件上傳點(diǎn)等地方

5.防護(hù)

對(duì)用戶請(qǐng)求的文件類型和下載路徑進(jìn)行過濾

• 對(duì)下載路徑進(jìn)行過濾，如下載前對(duì)傳入的參數(shù)進(jìn)行過濾，并且對(duì)下載文件類型進(jìn)行檢查，是否是允許下載的類型

• 過濾.(點(diǎn))，使用戶在url中不能回溯上級(jí)目錄

• 正則嚴(yán)格判斷用戶輸入?yún)?shù)的格式

• php.ini配置open_basedir限定文件訪問范圍