Webug4.0靶场通关笔记16- 第16关MySQL配置文件下载
目录
第16关 MySQL配置文件下载
1.打开靶场
2.源码分析
3.渗透实战
(1)Windows系统
(2)Linux系统
4、防御方法
本文通过《webug4.0靶场第16关MySQL配置文件下载》来进行渗透实战。文件下载是指 Web 应用程序在处理文件下载功能时,由于代码逻辑缺陷或安全措施不足,导致用户可以非法下载服务器上的敏感文件。
第16关 MySQL配置文件下载
1.打开靶场
打开webug4靶场的第16关任意文件下载,完整URL地址以及页面如下所示。
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php
构造下载文件地址,如下所示。
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/1.txt
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/2.txt2.源码分析
分析可知代码对参数file未做任何过滤, 直接使用fread进行处理,存在任意文件下载,具体如下所示。
<?php// 引入公共配置文件,包含路径定义、数据库连接等基础功能
require_once "../../common/common.php";// 会话验证:检查用户是否已登录,未登录则重定向到登录页面
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}// 处理文件下载请求:当用户通过GET方法传递file参数时
if (isset($_GET["file"])) {// 检查参数是否存在且不为空if (!empty($_GET["file"])) {// 构造文件路径:将用户提供的file参数与网站根路径拼接$filePath = ROOTPATH . $_GET['file'];// 提取文件扩展名(最后4个字符)$fileName = substr($filePath, -4);// 检查文件是否存在if (file_exists($filePath)) {// 以二进制模式打开文件$file = fopen($filePath, 'rb');// 设置响应头:指定内容类型为二进制流Header("Content-type: application/octet-stream");// 设置响应头:允许按字节范围请求(断点续传支持)Header("Accept-Ranges: bytes");// 设置响应头:指定文件大小Header("Accept-Length: " . filesize($filePath));// 设置响应头:强制下载并指定文件名(固定前缀"a" + 原扩展名)header('Content-Disposition: attachment; filename=a' . $fileName);// 读取文件内容并输出到浏览器echo fread($file, filesize($filePath));// 关闭文件资源fclose($file);// 终止脚本执行,防止后续内容输出exit();}}
}// 引入HTML模板文件,通常包含文件下载表单或链接列表
require_once TPMELATE."/file_download.html";这段 PHP 代码实现了一个基于会话验证的文件下载功能。首先检查用户会话,确保只有登录用户可访问该页面。当用户通过 GET 参数传递文件名时,代码将其与网站根路径拼接构造完整文件路径,并提取文件扩展名的最后 4 个字符。接着检查文件是否存在,若存在则设置响应头信息(包括内容类型、文件大小等),并强制以固定前缀 "a" 加原扩展名的文件名下载。文件内容通过二进制模式读取并输出到浏览器。若文件不存在或未传递有效参数,则加载文件下载页面模板。该功能存在目录遍历、任意文件下载等安全风险,需加强输入验证和路径控制。
其实这个源码与上一关完全一致,对比如下所示。
3.渗透实战
相对而言是需要构造MySQL的配置文件的相对路径。
(1)Windows系统
file=../../Extensions/MySQL5.7.26/my.ini如下所示下载了ini文件,渗透成功。
(2)Linux系统
如下所示,webug容器的mysql.ini文件的路径如下所示。
/usr/share/php5/mysql/mysql.ini源码的根路径如下所示。
/var/www/html相对而言mysql.ini的相对路径如下所示。
../../../usr/share/php5/mysql/mysql.ini如下所示渗成功下载ini文件,渗透成功。
4、防御方法
文件下载可能导致很多问题,比如敏感信息泄露和恶意软件感染。
-
敏感数据外泄: 攻击者可下载包含用户凭证、财务记录或商业机密等敏感信息的文件,导致数据泄露,对个人隐私和企业运营造成重大损害。
-
恶意软件感染: 下载文件可能携带病毒、木马等恶意程序,在设备上植入后实施数据窃取、远程控制或发起后续攻击。
为有效预防文件下载,可从输入验证、文件存储管理、安全配置、日志监控等多个方面采取措施。
| 预防层面 | 具体措施 | 简要说明 |
|---|---|---|
| 输入验证 | 白名单验证 | 限定合法文件名、类型及路径,仅允许下载白名单内文件 |
| 路径验证 | 严格校验文件路径,防止目录遍历攻击,避免直接用用户输入拼接路径 | |
| 文件存储管理 | 文件隔离 | 将可下载文件与敏感数据分开放置,设置合理访问权限 |
| 文件名处理 | 规范文件名,剔除特殊字符,防止恶意篡改 | |
| 安全配置 | HTTP 头设置 | 通过设置 Content-Disposition 等头信息,确保文件以安全方式下载 |
| CSP 策略 | 利用内容安全策略,限制页面资源加载来源,防范恶意文件执行 | |
| 日志监控与审计 | 日志记录 | 记录文件下载请求相关信息,便于追溯异常行为 |
| 实时监控 | 借助 IDS 或 IPS 实时监测,及时阻断可疑下载操作 | |
| 代码管理 | 代码审查 | 定期检查文件下载功能代码,排查验证不严格等 |
| 安全测试 | 运用工具与手动测试结合,全面检测潜在安全隐患 |