当前位置：首页 > article >正文

零基础在实践中学习网络安全-皮卡丘靶场（第八期-Unsafe Filedownload模块）

article 2025/6/8 21:25:37

这期内容更是简单和方便，毕竟谁还没在浏览器上下载过东西，不过对于url的构造方面，可能有一点问题，大家要多练手

介绍

不安全的文件下载概述

文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。
此时如果攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。从而导致后台敏感信息(密码文件、源代码等)被下载。

所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。切记：所有与前端交互的数据都是不安全的，不能掉以轻心！

你可以通过“Unsafe file download”对应的测试栏目，来进一步的了解该漏洞。

个人评价：很常见，因为很多网站都有下载文件的功能，这就是我们的切入点。（对于一些个人网站开发者来说，这是非常重要的防护点，因为服务器可能会产生一些重要文件，但是由于疏忽或者不了解，可能会导致严重的数据泄露特别是服务器的缓存，日志之类的，切记定期回收）

适用场景：所有有下载文件功能的网站都可能有这个漏洞

实际反馈：对于大企当然很难，但是对于一些个人开发者而言，很可能从中获取敏感信息

原理

若后台在拼接下载文件路径时，未对用户传入的文件名进行安全判断，直接将其拼接到路径中，攻击者就可提交精心构造的路径，如../../../etc/passwd，越权下载指定文件，导致后台敏感信息泄露，像密码文件、源代码等

这个漏洞类似于一个图书馆允许你借阅任何一本书，但是一些书籍被屏蔽掉了。如果你知道图书馆的书籍结构，就可以通过去特殊的位置来那些获取那些本该受限的书籍。（比较恶心，因为实际应用中还是需要一个一个的尝试来确定结构，从而确定漏洞位置）

实践

正如上面的原理说的，我们可以通过构造一些路径来获取信息

我们先来抓个包分析一下

我们可以看到我们的url指向了科比布莱恩的png图片，我们以这里为切入点进行路径构造


../../../index.php

（这里下载的源文件，不是很敏感的文件，但是可以知道，如果没有做这方面的防护，敏感信息迟早要漏完）

或者

../down_nba.php

以此类推，由于我们知道皮卡丘的文件，所以我们可以知道他们的路径和下载文件的名字

但是正常来说我们不可能知道，这就要用到一些"米奇妙妙工具了"（之后会发）

但是手动进行的话，可以帮助我们了解，大家可以自己试试以下内容

配置文件类
- `../../../config.php`：可能会包含数据库连接信息、管理员账号等敏感数据。
- `../../../.env`：在一些现代Web应用中，该文件用于存储环境变量，可能包含各种敏感信息，如数据库凭证、API密钥等。日志文件类
- `../../../logs/error.log`：可能包含应用程序的错误信息，如SQL查询错误、路径泄露等，有时会暴露敏感信息。
- `../../../var/logs/access.log`：记录了用户访问的详细信息，可用于分析用户行为或寻找其他潜在漏洞。源码文件类
- `../../../application/controllers/Admin.php`：获取控制器文件，了解后台管理逻辑。
- `../../../application/models/User_model.php`：获取模型文件，查看用户数据处理逻辑。数据库文件类（如果文件下载漏洞能访问到数据库文件）
- `../../../database.db`：SQLite数据库文件。
- `../../../mydb.sql`：MySQL等数据库的备份文件，可能包含表结构和数据。系统文件类（如果靶场环境允许访问系统文件）
- `../../../../../etc/passwd`：Linux系统用户信息文件（通常用于测试路径遍历）。
- `../../../../../boot.ini`：Windows系统启动配置文件（在Windows环境下）。其他常见文件
- `../../../.git/index`：如果项目使用Git版本控制，访问`.git`目录下的文件可能会暴露项目的所有历史提交信息和代码。
- `../../../robots.txt`：虽然通常不太敏感，但可能会泄露网站的目录结构或禁止访问的路径。

至此，Unsafe Filedownload模块完成

虽然这几期的内容很简单，但是仍然要记住实践，正如圣人王阳明所说

知之真切笃实处即是行，行之明觉精察处即是知

零基础在实践中学习网络安全-皮卡丘靶场（第八期-Unsafe Filedownload模块）

相关文章：

零基础在实践中学习网络安全-皮卡丘靶场（第八期-Unsafe Filedownload模块）

测试 FreeSWITCH 的 mod_loopback

【C++快读快写】

测试（面经八股）

[面试精选] 0104. 二叉树的最大深度

图上合成：用于大型语言模型持续预训练的知识合成数据生成

MYSQL(二) ---MySQL 8.4 新特性与变量变更

数学复习笔记 27

现代简约壁炉：藏在极简线条里的温暖魔法

限流算法java实现

机器学习×第二卷：概念下篇——她不再只是模仿，而是开始决定怎么靠近你

Linux 下关于 ioremap 系列接口

常用函数库之 - std::function

php执行系统命令的四个常用函数

力扣-17.电话号码的字母组合

基于SpringBoot解决RabbitMQ消息丢失问题

免费插件集-illustrator插件-Ai插件-随机填色

使用 Unstructured 开源库快速入门指南

白银6月想法

OpenCV 滑动条调整图像对比度和亮度

船舶事故海上搜救VR情景演练全场景 “复刻”，沉浸式救援体验

使用Caddy在Ubuntu 22.04上配置HTTPS反向代理

无人机目标检测与语义分割数据集（猫脸码客）

Web设计之登录网页源码分享，PHP数据库连接，可一键运行！

Cursor + Claude 4：微信小程序流量主变现开发实战案例

㊗️高考加油

Redis Key过期策略

【C/C++】实现固定地址函数调用

多模态大语言模型arxiv论文略读（109）

性能优化笔记