当前位置:网站首页>三十二:WEB漏洞-文件操作之文件下载读取全解

三十二:WEB漏洞-文件操作之文件下载读取全解

2021-01-23 20:20:12 九~月

文件下载读取

原路,检测,利用,修复

利用

数据库配置文件下载或者读取后续
接口密钥信息文件下载或者读取后续

文件名,参数值,目录符号

read.xxx?filename=
down.xxx?filename=
readfile.xxx?file=
downfile.xxx?file=
../ ..\ .\ ./ 等
%00 ? %23 %20 .等
&readpath=  &filepath=  &path=  &inputfile=  &url=  &data=  &readfile=  &menu=  META-INF=  WEB-INF

1.文件被解析,则是文件解析漏洞
2.显示源代码,则是文件读取漏洞
3.提示文件下载,则是文件下载漏洞

如何得到数据库配置文件?
	1.扫描工具爬行或者扫描地址
	2.下载好的文件代码中去分析路径和包含文件函数

各种协议调用配合

版权声明
本文为[九~月]所创,转载请带上原文链接,感谢
https://www.cnblogs.com/SnowSec/p/14318806.html

随机推荐