组合拳-某教务网存在任意文件下载漏洞
漏洞概述:
在测试某网的时候,发现几个小漏洞。后来通过组合拳,变成了任意文件下载。
漏洞详情:
漏洞一:水平越权下载大头照。
访问xx网,登录账号。
登录进去之后,打开f12网络,然后点击大头照。在加载大头照的时候,就能找到大头照的链接。
其中filename参数值是base64编码后的文件夹名+学号。
直接访问该链接,然后直接弹出下载内容。
复制filename参数值,在brp进行解密,修改解密后的学号,再进行base64编码。
把filename参数值替换,就能下载别人的大头照。
漏洞二:目录遍历漏洞
首页有个 文件下载 的功能。
同样,打开f12网络后点击 文件下载。
找到getFileList这个链接。
复制这个链接在新页面打开,并且post方式提交path参数值。就能看到当前路径的文件。
上一层路径,Path=../
Path=../../
Path=../../../
Path=../../../../ 这个路径已经是根目录,因为看到了回收站$RECYCLE.BIN。
漏洞三:任意文件下载
首页点了文件下载之后,可以下载部分文件。
复制 “下载” 按钮的链接,这个URL有两个参数,一个是路径加上文件名,一个是下载文件命名。
不管是下载文件还是下载命名都是可以修改,并且下载成功。
组合拳:
通过漏洞二的目录遍历,结合漏洞三的任意文件下载。
发现服务器上有备份网站源码。
论文。
漏洞三的任意文件下载其实有限制,由于年代久远,我不知道是中文路径还是超过两个“../”路径就会被安全规则拦截掉,然后拉黑ip半小时。
但是可以通过漏洞一的水平越权下载任意文件。
因为安全规则是死的,而漏洞一下载文件时,填写的文件名是base64编码后的。所以不管是中文路径还是超过两个路径”../”,都可以下载。
由于没有截图,就看看文字吧。
声明:以上漏洞均已修复,发表只为交流学习。他人模仿测试责任自负,与本人无关。