意文件下载漏洞基础与进阶.ppt

任意文件下载漏洞及进阶,王朋涛,深信服北京安全团队,任意文件下载漏洞原理任意文件下载漏洞探测方法任意文件下载漏洞利用框架任意文件下载漏洞案例说明任意文件下载漏洞绕过技术总结,培训提纲,任意文件下载漏洞原理,任意文件下载漏洞原理,原理任意文件下载漏洞是因为服务器端某些程序对用户提交参数过滤不当造成的，该程序一般具有以读取方式输出文件内容或者下载文件，前者也可以叫做任意文件读取，两者本质上是一样的。通常在以下情况下存在该漏洞：-通过在请求参数中传入文件路径，包括相对路径和绝对路径，如：download.jsp?filepath=1.pdf。-PHP代码中存在的本地文件包含漏洞，如：include、include_once、require、require_once。-WEB目录映射到根目录，导致可直接下载任意文件，如：,任意文件下载漏洞探测方法,任意文件下载漏洞探测方法,探测方法工具扫描BurpSuite网站浏览关注有路径的请求参数进行手工探测,任意文件下载漏洞探测方法,./探测在路径中添加abc/./看是否可以回溯http:/XXX/downLoad.php?filename=XXX.doc修改为：http:/XXX/downLoad.php?filename=aa/./XXX.doc如果两次下载文件相同，则继续下面测试。,任意文件下载漏洞探测方法,./探测确定是否可以下载任意文件http:/XXX/downLoad.php?filename=././././././etc/passwd,任意文件下载漏洞利用框架,任意文件下载漏洞利用框架,框架收集信息找WEB目录获取地址列表批量下载脚本文件分析已下载文件漏洞源码挖掘,任意文件下载漏洞利用框架,收集信息思路一：下载系统内文件-账户文件：/etc/passwd-环境变量文件：/etc/profile-系统服务文件：/etc/services-主机名和IP配置信息：/etc/hosts或/etc/hostname-DNS客户机配置文件：/etc/resolv.conf-MYSQL配置文件：/etc/f-WebServer配置文件：/etc/httpd/httpd.conf、/etc/ngnix/conf/ngnix.conf、/etc/ngnix/ngnix.conf,任意文件下载漏洞利用框架,收集信息思路二：扫描或猜解站点可能存在的测试文件、探针文件-test.php-phpinfo.php,任意文件下载漏洞利用框架,收集信息思路三：源码管理站点，收集其中包含的地址信息、配置信息等-可能保存网站部分源码或工程的子站，如：、-开源站点，如github、sourceforge等。,任意文件下载漏洞利用框架,找WEB目录在WEB服务器配置中找猜解常见路径，如：/var/www、/home/www、/home/htdocs/等。在脚本文件中，如：phpinfo中的BASEPATH等。,任意文件下载漏洞利用框架,获取地址列表利用爬虫程序将网站的目录和文件全部爬取下来，整理出URL地址列表,任意文件下载漏洞利用框架,批量下载脚本文件通过自动化脚本程序将URL地址列表中的脚本文件全部下载下来,2019/12/13,17,可编辑,任意文件下载漏洞利用框架,分析已经下载文件分析已经下载的脚本文件，从其中抽取出未下载的文件和目录并将其全部下载下来，如：include、require的文件。,任意文件下载漏洞利用框架,源码漏洞挖掘进行源码审计，分析源码中可能存在的各类漏洞，包括SQL注入、文件包含、命令执行、代码执行、上传漏洞等等。,任意文件下载漏洞案例说明,任意文件下载漏洞案例说明,北京航空航天大学安全保卫处任意文件下载：,任意文件下载漏洞案例说明,淘宝网某频道任意文件下载：,任意文件下载漏洞案例说明,腾讯某子站文件包含后续引发任意文件下载,任意文件下载漏洞案例说明,Wooyun上搜索“文件下载”,任意文件下载漏洞绕过技术,任意文件下载漏洞绕过技术,绕过技术漏洞探测过程是假设网站没有做任何安全防御情况下进行的测试，实际过程中网站会不同程度的做下安全策略，例如使用waf、应用程序过滤等，因此需要考虑逃逸技术，常见逃逸方法主要是对./进行变形或使用url编码、utf8等编码。,任意文件下载漏洞绕过技术,URL编码绕过技术%2e%2e%2f等于./%2e%2e/等于./.%2f等于./%2e%2e%5c等于.%5c等于.%252e%252e%252f等于./,任意文件下载漏洞探测过程,其他特殊容器支持的编码.%c1(pc|af|9c|1c|8s).%c0(af|9v|qf|2f|5c).%f8%80%80%af.%e0%80%af.%u0025u005c%c0%ce%c0%ae%c0.%c0.,任意文件下载漏洞探测过程,其他绕过././