任意文件讀取和下載

原理

可以任意讀取服務器上部分 或者全部文件的漏洞，攻擊者利用此漏洞可以讀 取服務器敏感文件如/etc/passwd,/etc/ sadow,web.config。漏洞一般存在於文件下載 參數，文件包含參數。主要是由於程序對傳入的 文件名或者文件路徑沒有經過合理的校驗，從而 操作了預想之外的文件，導致意外的文件泄露。

利用方式

1. 讀取程序源代碼（如密碼配置文件）
2. 讀取程序配置文件（如數據庫連接文件）
3. 讀取操作系統關鍵文件（如/etc/sadow，/ root/.bash_history等文件） 
4. 讀取運維配置文件（redis/rsync/ftp/ssh客 戶端數據等）
5. 讀取中間件配置文件（weblogic/tomcat等 密碼文件，apache的httpd.conf文件）
6. 下載web日志文件（獲取網站后台/上傳文件 等）
7. 結合SSRF獲取內網機器文件

系統文件

window

C:\boot.ini //查看系統版本
C:\Windows\System32\inetsrv\MetaBase. xml //IIS配置文件
C:\Windows\repair\sam //存儲系統初次安裝的密碼
C:\Program Files\mysql\my.ini //Mysql配 置C:\Program Files\mysql\data\mysql\user. MYD //Mysql root C:\Windows\php.ini //php配置信息 C:\Windows\my.ini //Mysql配置信息

Linux

.bash_history` # 歷史中可能帶着用戶的密碼 ( 遇到過現實案例,是輸錯的情況下參數的,比如沒 輸入 su 卻以為自己輸了 su)
/etc/passwd # 用戶情況 
/etc/shadow # 直接 John the Ripper 
/etc/hosts # 主機信息，通常配置了一些內網 域名
/root/.bash_history //root的bash歷史記錄
/root/.ssh/authorized_keys /root/.mysql_history //mysql的bash歷史記錄
/root/.wget-hsts /opt/nginx/conf/nginx.conf //nginx的配置文件
/var/www/html/index.html /etc/my.cnf /etc/httpd/conf/httpd.conf //httpd的配置文件
/proc/self/fd/fd[0-9]*(文件標識符) 
/proc/mounts /porc/config.gz /proc/sched_debug // 提供cpu上正在運行的進程信息，可以獲得進程的pid號，可以配合后面需要pid的利用 
/proc/mounts // 掛載的文件系統列表 
/proc/net/arp //arp表，可以獲得內網其他機器的地址
/proc/net/route //路由表信息 
/proc/net/tcp and /proc/net/udp // 活動連接的信息
/proc/net/fib_trie // 路由緩存
/proc/version // 內核版本
/proc/[PID]/cmdline // 可能包含有用的路徑信息
/proc/[PID]/environ // 程序運行的環境變量信息，可以用來包含getshell
/proc/[PID]/cwd // 當前進程的工作目錄
/proc/[PID]/fd/[#] // 訪問file descriptors， 某寫情況可以讀取到進程正在使用的文件，比如 access.log /root/.ssh/id_rsa /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys /etc/ssh/sshd_config /var/log/secure /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/syscomfig/network-scripts/ifcfg-eth1
/usr/local/tomcat/conf/tomcat-users. xml # tomcat 用戶配置文件 
/root/.bashrc # 環境變量 
/root/.bash_history # 還有root外的其他用戶
/root/.viminfo # vim 信息
/root/.ssh/id_rsa # 拿私鑰直接ssh 
/proc/xxxx/cmdline # 進程狀態枚舉 xxxx 可以為0000-9999 使用burpsuite 數據庫 config 文件 web 日志 access.log, error.log /var/lib/php/sess_PHPSESSID # 非常規問題 session 文件 
/proc/net/arp /proc/net/tcp /proc/net/udp /proc/net/dev

防御

1.php.ini 配置open_basedir
2.用戶輸入配置白名單 
s3.不允許包含 ../