【技术研究】- 探究新云下载任意文件漏洞

    作者：f4tb0y

    新云下载任意文件漏洞不是什么新东西了，也爆出过上传 0day：http://www.t00ls.net/thread-5023-1-13.html。

    今天碰到一个目标，非常有意思……

    那些 user 目录虽然有页面，但名字变了。虽然地址不变（怀疑是管理员照抄其他网站，暂时还未修改）。

    目标有几个目录，相当于子站吧。其中一个新云站，从后台界面就可以看出是新云的系统，试着用下载任意文件漏洞。

    成功下载“conn.asp”看到其中的数据库路径，非常奇怪的有一个“../”，不管三七二十一 URL 编码“#”字符“%23”，然后加不加“../”都试了一下，仍用下载漏洞下载（貌似直接下载都是404）。

    但下载回来，非常惊喜 0 KB！

    “downfile.asp”代码看了，没有限制什么文件大小。想探究一下是否“downfile.asp”这种文件会自动限制下载大小？（神奇），如果这样该怎样爆出数据库呢？其他一些 100kb 以下的文件貌似都可下载。

针对这种情况，解决方案如下： xxbing： 因为你下载的数据库文件里面有防下载代码“”，你用 txt 打开数据库看。 khjl1： 搞定了，顺藤摸瓜，找到一留言的数据库，插一句话，连接就 OK 了。 downfile.asp?url=a/../../../../jszx/xzxx/YuQaIFS_Conn.asp 至于为啥数据库下载不了, 还没搞清楚…… 800+KB的可以下载，经测试，不是ninty大黑客说的原因。应该是XXBing说的含有“ f4tb0y： 楼上果然渗透好手。。。。随便顺藤摸瓜就这么一句话插进去了。。。xzxx 这目录我咋没注意呢。。。 对了 XXBING大牛正解，用菜刀下载了动易数据库，记事本一开 CTRL + F。。。 问题解决了，感谢楼下每一位同学 khjl1 同学很牛。。。渗透好手啊。   感谢核心 xxbing 的回答，正解也。不多解释，截图在此（loop 防下载）。

博主评论：

    其实这个防止下载代码“”（在数据库中有时不要冒号也可以）即可将 loop 的防下载给过滤掉。

    具体去看：http://www.baidu.com/s?wd=%C8%E7%BA%CE%CD%BB%C6%C6%CA%FD%BE%DD%BF%E2Loop%B7%C0%CF%C2%D4%D8%CA%B5%C0%FD&n=2

文章来源于lcx.cc:【技术研究】- 探究新云下载任意文件漏洞

相关推荐: PHP漏洞挖掘思路+实例

最近研究PHP漏洞的挖掘，总结了一些我挖到的漏洞，整理了一下思路，求各路神人补充、批评、指导~ 本文所有示例均来自我在乌云上已由厂商允许公开的漏洞 由于是实例的分析，基础知识请百度，就不全都粘贴到前面了 0x01:  搜索所有的用户可控变量（GET/POST/…