免责声明由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
上次分析了一下路径的鉴权,成功找到了无鉴权路径,然后通过搜索关键词"file"、"download"等字样,成功也是找到了一两条路径。本次就分析其中一条路径拿下文件读取漏洞过程。这个漏洞点不复杂,代码量分析的也少(有分析不到位的地方,欢迎斧正,大佬勿喷)。
分析开始
至少七八个搜索结果
路径是 xx/xxdownloadxx,搜索/前的xx 看看是不是根据文件名进行定义的,果然大差不差就是这样的(狂喜),也可以反编译之后,搜索 "/xxxx"路径也能快速确定到逻辑代码端
下面只贴重点的代码部分(厚码勿怪,产品涉及资产较为敏感),接受filename跟filepath传参值,然后把filepath路径拼接上
最好filepath的值大概是
xxxxxxxxxxxx.jsp(xx.jsp是filepath传参值) 相当于是文件的绝对路径
继续往下看,其实下面就开始进行读取下载的操作了,并没有对我们的filepath以及filename传参值进行进一步的过滤,就是一系列的文件操作然后调用write写入数据
复现(本地)
构造读取就可以了
filepath=index.jsp&filename=xxxx当然也可以是filepath=/xxx/../xxx.jsp 因为并没有对路径进行过滤测试下来也是可以读取的,因为案例时间长了,之前的站点都访问不到了,就截了个之前复现的案例图片
也是成功拿下了一张证书
完
/ 欢迎加我好友(不定时发放活动)
厌倦了千篇一律的打卡景点
那就踏上徒步的征程
没有既定路线,每一步都是探索
逅不为人知的绝美风光,解锁徒步新体验
原文始发于微信公众号(WK安全):审计分析02 | 无鉴权路径拿下文件读取漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论