记一次任意文件读取漏洞的深入利用

某项目测试发现一个任意文件读取，当时没有深入利用，直接提交了，后续通知复测时发现可以进行绕过，刚好时间也充足，于是就多了一次任意文件读取深入利用的记录

第一次可以直接利用

修复后发现可以使用关键字upload://成功绕过

常规操作，读一下历史命令记录/root/.bash_history，接下来就是一点点翻记录了，翻了一段时间后发现敏感xls后缀的文件，如下图

构造uri，通过浏览器直接将xls文件下载下来，获取约44万条敏感数据，部分截图如下

接着发现数据库文件，如下图：

同样方法通过浏览器下载数据库文件，本地打开，获取登录用户名和密码数据

数据库的密码加密了，暂时无法利用

接着尝试读取mlocate.db文件(/var/lib/mlocate/mlocate.db)，这个文件超级大，通过浏览器下载下来，利用notepad++搜索发现session文件路径，尝试读取session信息

利用读取的session，最终成功以管理员身份登录系统

原文始发于微信公众号（安全艺术）：记一次任意文件读取漏洞的深入利用