from:http://josipfranjkovic.blogspot.com/2014/12/reading-local-files-from-facebooks.html
出问题的地方是在上传简历那里,可以上传任意后缀,上传一个a.php文件,很正常没有执行php,也没有得到文件路径,但是文件的内容以base64编码的方式返回了,接下尝试把文件名改为 /etc/passwd,file:///etc/passwd 都没有成功。
接下来尝试上传一个压缩的 .php 文件,返回信息是
//包含php文件,没有解压缩
unzipped,base64'd contents of .php
服务器会做一次解压缩,作者的猥琐思路开始了:
1.创建一个链接文件到/etc/passwd
ln -s /etc/passwd link
2. 压缩文件,同时保留链接
zip --symlinks test.zip link
3.上传test.zip文件,系统会自动解压缩
4. 页面当中会返回/etc/passwd的内容。
Yaseng (看黄片 到 www.yaseng.org) | 2014-12-08 16:22
哈哈 这个是php bypass open_basedir 的一个向量,只要web server 支持读取符号链接文件就行
linke:http://cxsecurity.com/issue/WLB-2009110068
xsser | 2014-12-07 13:50
哈哈哈 牛逼
xsser | 2014-12-07 13:52
zip文件是个危险的文件了,docx也是 嘿嘿
疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-12-07 13:53
哈哈哈 牛逼
0x_Jin (世上人多心不齐) | 2014-12-07 13:53
!!!!!为何这么YD!!!!!
px1624 (aaaaaaaaa) | 2014-12-07 13:57
赞
Mody | 2014-12-07 14:09
牛逼
jeffreys125 | 2014-12-07 14:37
够猥琐
RainShine (I’m your angel of music.) | 2014-12-07 15:01
猥琐啊……
M4ster (KnownSec && 404 Team) | 2014-12-07 15:15
牛逼,脸谱有奖励么?
Hxai11 (星辰将为你的眼,而风儿则为你的双手) | 2014-12-07 15:46
太猥琐了。。
园长 (喵~) | 2014-12-07 16:33
叼
lxj616 (简介) | 2014-12-07 16:38
神奇
mramydnei (一个逗逼运维) | 2014-12-07 16:44
unzipped, base64'd contents of .php
虽然赶起本地文件读取弱太多,但还是好奇文件扩展名改成xss payload会怎么样。
毕竟扩展名是没有做编码处理的。
孤月寒城 (握了棵草) | 2014-12-07 18:06
牛逼啊
咖啡 (SELECT) | 2014-12-07 18:11
打不开
糖剩七颗 (退潮后才发现自己原来一直在裸泳) | 2014-12-07 18:17
要不要这么叼
无敌L.t.H (……天百一爱恋考高:簿相色白产国) | 2014-12-07 19:14
看来apk也要中枪,坐等Play商店的0day……
s3xy (相濡以沫,不如相忘于江湖) | 2014-12-07 19:20
b
YHHK (淡定。) | 2014-12-07 20:04
哇呜。。。牛逼
Jumbo (www.chinabaiker.com) | 2014-12-07 20:34
返回的不应该是base64编码后的吗
小龙 | 2014-12-07 22:54
zip都能引起恐慌了
_Thorns (舍就是得。) | 2014-12-07 22:55
碉堡了。
小森森 (学习中……) | 2014-12-08 05:19
厉害。。
p0di | 2014-12-08 08:41
刁
luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-12-08 09:18
丧(gan)心(de)病(piao)狂(liang)!
国士无双 (@云诚信息) | 2014-12-08 09:42
那不是404吗
hkAssassin | 2014-12-08 10:07
第一步 和第二步 是如何执行的!!!
ztaosony | 2014-12-08 10:09
楼主很吊啊
qiaoy (一顿黄金有几重?) | 2014-12-08 10:13
屌!
insight-labs | 2014-12-08 13:26
zip –symlinks test.zip link
这个确定zip的不是自己本地的/etc/passwd?
test (这世间本是没有什么神仙的,但自太古以来,人类眼见周) | 2014-12-08 13:50
这思路…
Rona (111) | 2014-12-08 13:56
@insight-labs 有疑问,不过不确定
太阳风 (我宣你) | 2014-12-08 15:37
还可以这样?
livers (如梦似幻) | 2014-12-08 16:03
@insight-labs 软连接
Vigoss_Z (http://i-security.cc) | 2014-12-08 16:11
不是base64的么,怎么返回页面的/etc/passwd没有base64
百度网盘,qq邮箱,各大cms走起啊
Yaseng (看黄片 到 www.yaseng.org) | 2014-12-08 16:23
@insight-labs 服务器端的 tar格式应该也可以 只要支持解压符号链接就行了
Rona (111) | 2014-12-08 17:30
服务端自动解压压缩文件,并返回文件内容的值。软链接文件展现内容即是/etc/passwd的内容
GaRY | 2014-12-08 17:34
好牛逼的思路
乐乐、 | 2014-12-09 09:43
哈哈 这个厉害~
肉肉 | 2014-12-09 10:45
好思路呀
Fireweed | 2014-12-09 12:22
老外也用破解版啊pro啊
B1uH4ck | 2014-12-09 15:02
zip:怪我咯?
蓝风 (#知我者謂我心憂 不知我者謂我何求#) | 2014-12-09 15:07
哈哈
大漠長河 (专注智能家居与硬件防火墙) | 2014-12-09 15:52
功能越多 漏洞越多
很叼的存在
刘海哥 (moc.ghuil.www) | 2014-12-09 16:14
mark
wefgod (求大牛指点) | 2014-12-10 11:02
牛逼思路啊!
78基佬 | 2014-12-10 11:53
牛逼
zzR | 2014-12-10 11:59
zip:怪我咯?
_Evil (科普是一种公益行为) | 2014-12-10 15:37
支持
hkAssassin | 2014-12-10 17:58
–symlinks 神奇的参数!!!
w5r2 | 2015-01-10 20:44
思路犀利~
GrayTrack (@灰色轨迹) | 2015-01-23 10:08
见识过老外的思路了,在一次路由器测试中,也是用软连接,回溯到系统目录
