任意文件读取漏洞

发布时间:2024年01月19日

一.任意文件读取概述

? 一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件这些文件可以是源代码文件,配置文件,敏感文件等等。

  • 任意文件读取会造成(敏感)信息泄露;

  • 任意文件读取大多数情况是由于其他漏洞引发的,如 RCE、目录遍历、文件包含等。

  • 任意文件读取与任意文件下载本质上没有区别,信息都是从服务端流向浏览器的。

? 任意文件读取与下载可能形式不同,但是从本质上讲读取与下载没有区别,从权限角度来讲,读取与下载都需要读权限。

1.1漏洞成因

不管是任意文件读取还是任意文件下载,触发漏洞的条件都是相同的:

  • ==存在读取文件的功能(函数),==也就是说,Web 应用开放了文件读取功能;

  • 读取文件的路径客户端可控,完全控制或影响文件路径参数;

  • 没有对文件路径进行校验或者校验不严导致校验被绕过;

  • 输出了文件的内容。

1.2 漏洞危害

下载服务器任意文件,包括源代码文件、系统敏感文件、配置文件等等。

可以配合其他漏洞,构成完整攻击链。

对源代码文件进行代码审计,查找更多的漏洞。

任意文件读取与下载重点关注的文件:

  • 源代码

  • 配置文件

  • 敏感文件

  • 日志文件

1.3漏洞分类

  • 任意文件读取

  • 任意文件下载

1.4任意文件读取

以PHP脚本为例子,有一些函数可以实现文件读取功能。

1.4.1文件读取

读取文件的函数函数特点
readfile()直接读取文件内容
自带输出功能
file_get_contents()直接读取文件内容
需要输出读取内容
fread()打开文件
计算文件大小
读取文件
输出文件
关闭文件

readfile:

// readfile.php
$fp = "../phpinfo.php";
readfile($fp);

file_get_contents:

// file_get_contents.php
$fp = "../phpinfo.php";
echo file_get_contents($fp);

fread:

// fread.php
$fp = "../phpinfo.php";
$f = fopen($fp,'r');
$f_size = filesize($fp);
echo fread($f, $f_size);
fclose($f);

1.4.2任意文件读取

变量$fp,会捕获GET 方式传递过来的filepath 参数。

$fp = @$_GET['filepath'];

filepath 客户端可控,并且没有经过校验,会造成任意文件读取漏洞。

?filepath=index.php
?filepath=/etc/passwd
?filepath=c:\windows\system32\drivers\etc\hosts
?filepath=c:\phpstudy_2016\apache\conf\httpd.conf
?filepath=c:\phpstudy_2016\mysql\my.ini
?filepath=../../../../../../../../../../phpstudy_2016/www/phpinfo.php
?filePath=../../../../../../../../windows\system32\drivers\etc\hosts
?filePath=../../../../../../etc/hosts

1.5 任意文件下载

直接下载:例如图片另存为。

a 标签下载:

<a href = './a.jpg'>IMG Download</a>

1.5.1 PHP 实现

PHP 文件下载实现过程:

  • 先读取文件

  • 在输出文件

  • 提供下载

// file-download.php
$fp = './a.jpg';
header('Content-Type:image/jpg');
header('Content-Disposition:attachment;fileName='.basename($fp));
readfile($fp);

1.5.2 任意文件下载

任意文件下载的条件:

  • 已知目标文件路径

  • 目标文件路径,客户端可控

  • 没有经过校验或校验不严格

$fp = $_GET['filepath'];

在这里插入图片描述

?filepath=c:/windows/system32/drivers/etc/hosts
?filepath=/etc/passwd

二. 任意文件读取攻防

2.1 路径过滤

2.1.1 过滤 …/

$fp = @$_GET['filepath'];a
$fp = str_replace("../","",$fp);
readfile($fp);

2.2 简单绕过

2.2.1 双写绕过

?
filepath=..././..././..././..././..././..././..././windows\system32\d
rivers\etc\hosts

2.2.2 绝对路径

?filepath=c:/windows\system32\drivers\etc\hosts

2.2.3 使用

?filepath=..\..\..\..\..\windows\system32\drivers\etc\hosts

三.任意文件读取挖掘

3.1 手工挖掘

从文件名上看从参数名上看
f=
file =
filepath=
readfile.phpfp=
filedownload.phppath=
filelist.phpreadpdth=
````url=
menu=
META-INF=
WEB-INF=
content

3.2 经典案例

metinfo_6.0.0_file-read

四. 漏洞修复方案

4.1输入验证

  • 让web用户只能访问(读取),所需要的文件和路径

4.2 避免其他漏洞

  • 不能有文件包含漏洞,目录遍历漏洞或其他漏洞。

4.3 限定文件的访问范围

  • 让用户不能访问 Web 根目录以外的路径。

  • php.ini 配置文件中,可以通过选项 open_basedir 来限定文件访问的范围

open_basedir = c:\www\

五. 参考连接

https://github.com/lijiejie/ds_store_exp
https://blog.csdn.net/GitChat/article/details/79014538
https://www.secpulse.com/archives/124398.html
https://github.com/kost/dvcs-ripper
https://github.com/lijiejie/GitHack
http://www.vuln.cn/2225
https://github.com/admintony/svnExploit
https://www.freebuf.com/vuls/181698.html
文章来源:https://blog.csdn.net/m0_46390077/article/details/135623421
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。