审计分析02 | 无鉴权路径拿下文件读取漏洞

原创 匿名白帽子 WK安全 2025-02-27 00:11

免责声明
  由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负
责，WK安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除
并致歉。谢谢！

上次分析了一下路径的鉴权，成功找到了无鉴权路径，然后通过搜索关键词”file”、”download”等字样，成功也是找到了一两条路径。本次就分析其中一条路径拿下文件读取漏洞过程。这个漏洞点不复杂，代码量分析的也少(有分析不到位的地方，欢迎斧正，大佬勿喷)。

分析开始

至少七八个搜索结果

路径是 xx/xxdownloadxx，搜索/前的xx 看看是不是根据文件名进行定义的，果然大差不差就是这样的(狂喜)，也可以反编译之后，搜索 “/xxxx”路径也能快速确定到逻辑代码端

下面只贴重点的代码部分(厚码勿怪，产品涉及资产较为敏感)，接受filename跟filepath传参值，然后把filepath路径拼接上

最好filepath的值大概是

xxxxx\xxx\xx\xx.jsp(xx.jsp是filepath传参值)  相当于是文件的绝对路径

继续往下看，其实下面就开始进行读取下载的操作了，并没有对我们的filepath以及filename传参值进行进一步的过滤，就是一系列的文件操作然后调用write写入数据

复现(本地)

构造读取就可以了

filepath=index.jsp&filename=xxxx
当然也可以是filepath=/xxx/../xxx.jsp  因为并没有对路径进行过滤

测试下来也是可以读取的，因为案例时间长了，之前的站点都访问不到了，就截了个之前复现的案例图片

也是成功拿下了一张证书

完

/  欢迎加我好友(不定时发放活动)

厌倦了千篇一律的打卡景点

那就踏上徒步的征程

没有既定路线，每一步都是探索

逅不为人知的绝美风光，解锁徒步新体验