对于文件的操作:上传、包含、下载、删除、读取……在这些功能点产生漏洞,都会对系统安全形成危害。文件下载、读取思路相似,主要是对一些敏感的文件进行操作,比如说凭据。而删除更是高危操作,举个例子,删除漏洞会让攻击者删除一些验证文件,会对访问控制进行破坏,另外,攻击者还会利用该漏洞进行重装攻击,将配置初始化指向攻击者构建的环境。再举一个例子,很多博客系统可以删除文章,以此为切入点思考文件删除漏洞产生原理
回忆之前提到的下载的区别:
1.直连下载,在目录中有的,输入文件名能根据协议类别进行下载。因为直连有就有没有就没有,正经人不会把敏感数据放到可以下载的目录,而且攻击者也没有可以控制的参数,所以是安全的,写死了路径不会有漏洞。
2.常规下载会有特定的判定语句,然后对请求内容进行下载,这种会有参数,如果参数可控,就可能存在有下载漏洞。
在迪总演示外国网站,尝试下载index.php文件,下载后审计其中代码,发现包含很多文件,可以推测一些数据库配置文件应该也是被包含的,所以可以尝试下载数据库配置文件(可以找到特定的名称文件,也可以一个个尝试)。幸运的话可以发现包含的配置信息里的敏感内容,比如数据库账号密码。
下面借鉴迪总笔记:
#白盒审计:
1、文件下载
流程-功能点抓包-寻代码文件-寻变量控制-构造测试
Payload: softadd=d:/1.txt softadd2=d:/1.txt
2、文件删除:74CMS-配合删除重装
流程-特定函数搜索-寻触发调用-构造Payload测试
Payload: /admin/admin_article.php?act=del_img&img=../../data/install.lock
3、文件读取:MetInfo-任意读取
流程-特定函数搜索-寻触发调用-构造Payload测试
Payload:/include/thumb.php?dir=http\..\..\config\config_db.php
#黑盒探针
1、URL参数名及参数值分析:
参数名:英文对应翻译
参数值:目录或文件名
2、功能点自行修改后分析:
文件下载,删除,读取等