Webug4.0靶场通关笔记11- 第15关任意文件下载与第16关MySQL配置文件下载
目录
一、文件下载
二、第15关 任意文件下载
1.打开靶场
2.源码分析
3.渗透实战
三、第16关 MySQL配置文件下载
1.打开靶场
2.源码分析
3.渗透实战
(1)Windows系统
(2)Linux系统
四、渗透防御
一、文件下载
本文通过《webug4.0靶场第15关任意文件下载与第16关MySQL配置文件下载》来进行渗透实战。文件下载是指 Web 应用程序在处理文件下载功能时,由于代码逻辑缺陷或安全措施不足,导致用户可以非法下载服务器上的敏感文件。
二、第15关 任意文件下载
1.打开靶场
打开webug4靶场的第15关任意文件下载,完整URL地址以及页面如下所示。
http://192.168.71.1/webug4/control/filedownload/file_download.php
如上所示可以对文件进行下载,可能存在任意文件文件下载,复制txt文件的下载地址,参数为file,可以通过指定下载路径来下载文件,如下所示。
http://192.168.71.1/webug4/control/filedownload/file_download.php?file=template/assets/img/1.txt
http://192.168.71.1/webug4/control/filedownload/file_download.php?file=template/assets/img/2.txt2.源码分析
如下所示,对参数file未做任何过滤, 直接使用fread进行处理,存在任意文件下载,如下所示filepath就是相对路径,因为是与ROOTPATH拼接而成。
<?phprequire_once "../../common/common.php";
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}
if (isset($_GET["file"])) {if (!empty($_GET["file"])) {$filePath = ROOTPATH. $_GET['file'];$fileName = substr($filePath, -4);if (file_exists($filePath)) {$file = fopen($filePath, 'rb');Header ( "Content-type: application/octet-stream" );Header ( "Accept-Ranges: bytes" );Header ( "Accept-Length: " . filesize ( $filePath ) );header('Content-Disposition: attachment; filename=a'.$fileName);echo fread ( $file, filesize ( $filePath ) );fclose ( $file );exit ();}}
}
require_once TPMELATE."/file_download.html";3.渗透实战
如下所示,文件的下载路径相对路径的目录为template的上一层目录,也就是webug根目录。
file=template/assets/img/2.txt考虑构造如下文件的访问路径。
构造如下相对路径。
file=sql/webug.sql
file=sql/webug_sys.sql
file=sql/webug_width_byte.sql如下所示,渗透成功,可以进行任意文件下载。
如下所示,下载当前file_download.php文件,可以渗透成功。
file=control/filedownload/file_download.php
三、第16关 MySQL配置文件下载
1.打开靶场
打开webug4靶场的第16关任意文件下载,完整URL地址以及页面如下所示。
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php
构造下载文件地址,如下所示。
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/1.txt
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/2.txt2.源码分析
分析可知代码对参数file未做任何过滤, 直接使用fread进行处理,存在任意文件下载,具体如下所示。
<?phprequire_once "../../common/common.php";
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}
if (isset($_GET["file"])) {if (!empty($_GET["file"])) {$filePath = ROOTPATH. $_GET['file'];$fileName = substr($filePath, -4);if (file_exists($filePath)) {$file = fopen($filePath, 'rb');Header ( "Content-type: application/octet-stream" );Header ( "Accept-Ranges: bytes" );Header ( "Accept-Length: " . filesize ( $filePath ) );header('Content-Disposition: attachment; filename=a'.$fileName);echo fread ( $file, filesize ( $filePath ) );fclose ( $file );exit ();}}
}
require_once TPMELATE."/file_download.html";其实这个源码与上一关完全一致,如下所示。
3.渗透实战
相对而言是需要构造MySQL的配置文件的相对路径。
(1)Windows系统
file=../../Extensions/MySQL5.7.26/my.ini如下所示下载了ini文件,渗透成功。
(2)Linux系统
如下所示,webug容器的mysql.ini文件的路径如下所示。
/usr/share/php5/mysql/mysql.ini源码的根路径如下所示。
/var/www/html相对而言mysql.ini的相对路径如下所示。
../../../usr/share/php5/mysql/mysql.ini如下所示渗成功下载ini文件,渗透成功。
四、渗透防御
文件下载可能导致以下问题。
- 敏感信息泄露:攻击者可利用下载包含敏感信息的文件,如用户账号密码、财务数据、企业机密文档等,进而造成信息泄露,给个人或企业带来严重损失。
- 系统被恶意篡改:通过下载恶意文件并执行,攻击者能够篡改系统文件、配置信息等,使系统功能异常或出现安全隐患,影响系统的正常运行。
- 植入恶意软件:下载的恶意文件可能是病毒、木马、蠕虫等恶意软件,它们会在用户设备或服务器上安装并运行,窃取数据、控制设备或发动进一步的攻击。
- 网站被挂马:攻击者利用文件下载将恶意脚本或代码植入网站,使访问该网站的用户受到攻击,导致用户信息泄露或设备被控制。
- 服务中断:若关键系统文件被非法下载或破坏,可能导致服务器服务中断,影响业务的正常开展,给企业带来经济损失和声誉损害。
- 权限提升:攻击者可能通过下载特定文件,获取系统权限提升的方法,进而控制整个系统,获取更高权限的敏感信息和操作权限。
为有效预防文件下载,可从输入验证、文件存储管理、安全配置、日志监控等多个方面采取措施。
| 预防层面 | 具体措施 | 简要说明 |
|---|---|---|
| 输入验证 | 白名单验证 | 限定合法文件名、类型及路径,仅允许下载白名单内文件 |
| 路径验证 | 严格校验文件路径,防止目录遍历攻击,避免直接用用户输入拼接路径 | |
| 文件存储管理 | 文件隔离 | 将可下载文件与敏感数据分开放置,设置合理访问权限 |
| 文件名处理 | 规范文件名,剔除特殊字符,防止恶意篡改 | |
| 安全配置 | HTTP 头设置 | 通过设置 Content-Disposition 等头信息,确保文件以安全方式下载 |
| CSP 策略 | 利用内容安全策略,限制页面资源加载来源,防范恶意文件执行 | |
| 日志监控与审计 | 日志记录 | 记录文件下载请求相关信息,便于追溯异常行为 |
| 实时监控 | 借助 IDS 或 IPS 实时监测,及时阻断可疑下载操作 | |
| 代码管理 | 代码审查 | 定期检查文件下载功能代码,排查验证不严格等 |
| 安全测试 | 运用工具与手动测试结合,全面检测潜在安全隐患 |
相关文章:
Webug4.0靶场通关笔记11- 第15关任意文件下载与第16关MySQL配置文件下载
目录 一、文件下载 二、第15关 任意文件下载 1.打开靶场 2.源码分析 3.渗透实战 三、第16关 MySQL配置文件下载 1.打开靶场 2.源码分析 3.渗透实战 (1)Windows系统 (2)Linux系统 四、渗透防御 一、文件下载 本文通过…...
【中间件】brpc_基础_remote_task_queue
文章目录 remote task queue1 简介2 核心功能2.1 任务提交与分发2.2 无锁或低锁设计2.3 与 bthread 深度集成2.4 流量控制与背压 3 关键实现机制3.1 数据结构3.2 任务提交接口3.3 任务窃取(Work Stealing)3.4 同步与唤醒 4 性能优化5 典型应用场景6 代码…...
maven坐标导入jar包时剔除不需要的内容
maven坐标导入jar包时剔除不需要的内容 问题描述解决方案 问题描述 maven坐标导入jar包时剔除不需要的内容 解决方案 Spring Boot 默认使用 Logback,需在 pom.xml 中排除其依赖: <dependency><groupId>org.springframework.boot</gro…...
k8s监控方案实践(一):部署Prometheus与Node Exporter
k8s监控方案实践(一):部署Prometheus与Node Exporter 文章目录 k8s监控方案实践(一):部署Prometheus与Node Exporter一、Prometheus简介二、PrometheusNode Exporter实战部署1. 创建Namespace(p…...
ValueError: Could not find common ancestor of[]
ValueError: Could not find common ancestor of [0004_deadstockstathistorymodel, 0026_remove_orderdetailmodel_order_no]说明 Django 当前在 尝试生成迁移或者执行迁移 时,发现你的迁移历史“断裂”了: 你这个 App 的迁移历史有两个分支,…...
具身系列——比较3种vpg算法方式玩CartPole游戏(强化学习)
文档1方式参考:https://gitee.com/chencib/ailib/blob/master/rl/vpg_baseline_cartpole.py 文档2方式参考:https://gitee.com/chencib/ailib/blob/master/rl/vpg_batchupdate_cartpole.py 文档3方式参考:https://gitee.com/chencib/ailib/bl…...
面向未来的 TCP 协议设计:可扩展与兼容并存
目录 1.设计思路 (1)完整数据结构(字节布局) 1)字段解释: 2)Flags字段设计(1字节位图) (2)进阶版 Java 解码器实现(示例…...
PyTorch_自动微分模块
自动微分 (Autograd) 模块对张量做了进一步的封装,具有自动求导功能。自动微分模块是构成神经网络训练的必要模块,在神经网络的反向传播过程中,Autograd 模块基于正向计算的结果对当前的参数进行微分计算,从而实现网络权重参数的更…...
【Git】【commit】查看未推送的提交查看指定commit的修改内容合并不连续的commit
文章目录 1. 查看未推送的提交方法一 :git status方法二:git log方法三:git cherry方法四:git rev-list 2. 查看指定commit的修改方法一:git show方法二:git log方法三:git diff 3. 合并不连续的…...
手写 Vue 源码 === 依赖清理机制详解
目录 引言 响应式系统基础回顾 依赖清理的必要性 ReactiveEffect 类的设计 依赖清理的三个关键函数 1. preCleanEffect:执行前的准备 2. trackEffects:依赖收集与 diff 算法 3. postCleanEffect:执行后的清理 4. cleanDepEffect:清理依赖 实际案例分析 依赖清理算…...
LSB图像信息隐藏系统(MATLAB)
图像信息隐藏系统 系统概述 图像信息隐藏系统是一个基于MATLAB开发的图像隐写工具,采用自适应LSB(最低有效位)隐写算法,实现了信息在图像中的隐藏与提取功能。系统配备了直观的图形用户界面,支持图像分析、信息隐藏、…...
C++GO语言微服务项目之 go语言基础语法
目录 01 变量定义 02 自增语法 03 指针 04 go不支持的语法 05 string 06 定长数组-forrange 07 动态数组追加元素 08 切片截取-copy-make介绍 09 map介绍 10 函数 11 内存逃逸 12 import 13 命令行参数-switch 14 标签与continue-goto-break配合使用 15 枚举cons…...
DDR在PCB布局布线时的注意事项及设计要点
一、布局注意事项 控制器与DDR颗粒的布局 靠近原则:控制器与DDR颗粒应尽量靠近,缩短时钟(CLK)、地址/控制线(CA)、数据线(DQ/DQS)的走线长度,减少信号延迟差异。 分组隔…...
【每天学习一点点】使用Python的pathlib模块分割文件路径
使用Python的pathlib模块分割文件路径 pathlib模块(Python 3.4)提供了面向对象的文件系统路径操作方式,比传统的os.path更加直观和易用。以下是使用pathlib分割文件路径的几种方法: 基本路径分割 from pathlib import Path# 创…...
Hydra详细教程:入门、入狱,和使用与注意事项
警告:本文档仅供学习和授权测试目的使用。未经授权对计算机系统进行渗透测试是非法行为。请务必在获得明确许可的情况下使用Hydra,并遵守所有适用的法律法规。滥用此工具可能导致严重的法律后果。 什么是Hydra? Hydra是一款非常流行的开源网…...
—约束系统)
【C++游戏引擎开发】第32篇:物理引擎(Bullet)—约束系统
一、约束系统基础理论 1.1 物理约束的本质 1.1.1 约束的数学描述 在刚体动力学中,约束的本质是通过数学方程限制刚体的运动自由度。对于两个刚体A和B的约束关系,可以用以下方程表示: Φ ( q A , q B , t ) = 0...
最新字节跳动运维云原生面经分享
继续分享最新的go面经。 今天分享的是组织内部的朋友在字节的go运维工程师岗位的云原生方向的面经,涉及Prometheus、Kubernetes、CI/CD、网络代理、MySQL主从、Redis哨兵、系统调优及基础命令行工具等知识点,问题我都整理在下面了 面经详解 Prometheus …...
理解 Elasticsearch 的评分机制和 Explain API
作者:来自 Elastic Kofi Bartlett 深入了解 Elasticsearch 的评分机制并探索 Explain API。 想获得 Elastic 认证吗?查看下一期 Elasticsearch Engineer 培训的时间! Elasticsearch 拥有大量新功能,帮助你为你的使用场景构建最佳…...
NGINX `ngx_http_charset_module` 字符集声明与编码转换
一、模块定位与功能 ngx_http_charset_module 主要提供两大能力: 响应头声明:在 Content-Type 头部自动添加 ; charsetXXX,告知客户端所用字符集。单向编码转换:在 NGINX 层将一种单字节编码(如 koi8-r、windows-125…...
视频编解码学习三之显示器
整理自:显示器_百度百科,触摸屏_百度百科,百度安全验证 分为阴极射线管显示器(CRT),等离子显示器PDP,液晶显示器LCD 液晶显示器的组成。一般来说,液晶显示器由以下几个部分组成: […...
Python中的re库详细用法与代码解析
目录 1. 前言 2. 正则表达式的基本概念 2.1 什么是正则表达式? 2.2 常用元字符 3. re库的适应场景 3.1 验证用户输入 3.2 从文本中提取信息 3.3 文本替换与格式化 3.4 分割复杂字符串 3.5 数据清洗与预处理 4. re库的核心功能详解 4.1 re.match()&#…...
K8s网络从0到1
K8s网络从0到1 前言 K8s是一个强大的平台,但它的网络比较复杂,涉及很多概念,例如Pod网络,Service网络,Cluster IPs,NodePort,LoadBalancer和Ingress等等。为了帮助大家理解,模仿TC…...
13.Excel:分列
一 分列的作用 将一个单元格中的内容拆分到两个或多个单元格当中。 二 如何使用 1.常规分列使用 注意:分列功能一次只能拆分一列。 长度一致或者数据间有分隔符。 补充:快速选择一列。 CTRL shift 向下箭头。 补充:中英文逗号不同。 可以先通…...
第十六届蓝桥杯大赛软件赛C/C++大学B组部分题解
第十六届蓝桥杯大赛软件赛C/C大学B组题解 试题A: 移动距离 问题描述 小明初始在二维平面的原点,他想前往坐标(233,666)。在移动过程中,他只能采用以下两种移动方式,并且这两种移动方式可以交替、不限次数地使用: 水平向右移动…...
计算机网络应用层(5)-- P2P文件分发视频流和内容分发网
💓个人主页:mooridy 💓专栏地址:《计算机网络:自顶向下方法》 大纲式阅读笔记_mooridy的博客-CSDN博客 💓本博客内容为《计算机网络:自顶向下方法》第二章应用层第五、六节知识梳理 关注我&…...
Gin优雅关闭 graceful-shutdown
文章目录 优雅关闭示例 - Close 方法项目结构使用方法代码如下代码说明如果去掉代码中的数字1,会发生什么 优雅关闭示例项目结构使用方法使用上下文通知不使用上下文通知 代码 notify-without-context-server.go代码说明 代码 notify-with-context-server.go代码说明…...
)
Android 查看 Logcat (可纯手机方式 无需电脑)
安装 Logcat Reader Github Google Play 如果有电脑 使用其ADB方式可执行如下命令 后续无需安装Termux # 使用 ADB 授予 android.permission.READ_LOGS 权限给 Logcat Reader adb shell "pm grant com.dp.logcatapp android.permission.READ_LOGS && am force-…...
Java 中常见的数据结构及其常用 API
本文总结了 Java 中常见的数据结构及其常用 API,帮助开发者在写算法时能够快速选择合适的数据结构和操作。通过使用合适的 API,可以有效减少计算复杂度,并提高代码的执行效率。 1. 数组 数组是 Java 中最常用的数据结构之一,Jav…...
五子棋html
<!DOCTYPE html> <html lang"zh-CN"> <head> <meta charset"UTF-8" /> <meta name"viewport" content"widthdevice-width, initial-scale1" /> <title>五子棋游戏</title> <style>bo…...
在Laravel 12中实现基于parent_id的树状数组
在Laravel中实现基于parent_id的树状数组,可以通过预加载所有节点并在内存中递归构建树结构来完成。以下是具体步骤和代码示例: 1. 创建模型及数据库迁移 迁移文件: // 创建节点表 Schema::create(nodes, function (Blueprint $table) {$t…...