Facebook本地文件读取漏洞(已修复)

  • A+
所属分类:WooYun-Zone

from:http://josipfranjkovic.blogspot.com/2014/12/reading-local-files-from-facebooks.html

出问题的地方是在上传简历那里,可以上传任意后缀,上传一个a.php文件,很正常没有执行php,也没有得到文件路径,但是文件的内容以base64编码的方式返回了,接下尝试把文件名改为 /etc/passwd,file:///etc/passwd 都没有成功。

接下来尝试上传一个压缩的 .php 文件,返回信息是

//包含php文件,没有解压缩

unzipped,base64'd contents of .php

服务器会做一次解压缩,作者的猥琐思路开始了:

1.创建一个链接文件到/etc/passwd

ln -s /etc/passwd link

2. 压缩文件,同时保留链接

zip --symlinks test.zip link

3.上传test.zip文件,系统会自动解压缩

4. 页面当中会返回/etc/passwd的内容。

Facebook本地文件读取漏洞(已修复)

  1. 1#

    Yaseng (看黄片 到 www.yaseng.org) | 2014-12-08 16:22

    哈哈  这个是php bypass open_basedir 的一个向量,只要web server 支持读取符号链接文件就行
    linke:http://cxsecurity.com/issue/WLB-2009110068

  2. 2#

    xsser | 2014-12-07 13:50

    哈哈哈 牛逼

  3. 3#

    xsser | 2014-12-07 13:52

    zip文件是个危险的文件了,docx也是 嘿嘿

  4. 4#

    疯子 (世人笑我太疯癫,我笑世人看不穿。) | 2014-12-07 13:53

    哈哈哈 牛逼

  5. 5#

    0x_Jin (世上人多心不齐) | 2014-12-07 13:53

    !!!!!为何这么YD!!!!!

  6. 6#

    px1624 (aaaaaaaaa) | 2014-12-07 13:57

  7. 7#

    Mody | 2014-12-07 14:09

    牛逼

  8. 8#

    jeffreys125 | 2014-12-07 14:37

    够猥琐

  9. 9#

    RainShine (I’m your angel of music.) | 2014-12-07 15:01

    猥琐啊……

  10. 10#

    M4ster (KnownSec && 404 Team) | 2014-12-07 15:15

    牛逼,脸谱有奖励么?

  11. 11#

    Hxai11 (星辰将为你的眼,而风儿则为你的双手) | 2014-12-07 15:46

    太猥琐了。。

  12. 12#

    Mujj (为何我的眼中饱含泪水?因为我装逼装的深沉) | 2014-12-07 16:31

    @M4ster 不低

  13. 13#

    园长 (喵~) | 2014-12-07 16:33

  14. 14#

    lxj616 (简介) | 2014-12-07 16:38

    神奇

  15. 15#

    mramydnei (一个逗逼运维) | 2014-12-07 16:44

    unzipped, base64'd contents of .php

    虽然赶起本地文件读取弱太多,但还是好奇文件扩展名改成xss payload会怎么样。

    毕竟扩展名是没有做编码处理的。

  16. 16#

    孤月寒城 (握了棵草) | 2014-12-07 18:06

    牛逼啊

  17. 17#

    咖啡 (SELECT) | 2014-12-07 18:11

    打不开

  18. 18#

    糖剩七颗 (退潮后才发现自己原来一直在裸泳) | 2014-12-07 18:17

    要不要这么叼

  19. 19#

    无敌L.t.H (‮……天百一爱恋考高:簿相色白产国) | 2014-12-07 19:14

    看来apk也要中枪,坐等Play商店的0day……

  20. 20#

    s3xy (相濡以沫,不如相忘于江湖) | 2014-12-07 19:20

    b

  21. 21#

    YHHK (淡定。) | 2014-12-07 20:04

    哇呜。。。牛逼

  22. 22#

    Jumbo (www.chinabaiker.com) | 2014-12-07 20:34

    返回的不应该是base64编码后的吗

  23. 23#

    小龙 | 2014-12-07 22:54

    zip都能引起恐慌了

  24. 24#

    _Thorns (舍就是得。) | 2014-12-07 22:55

    碉堡了。

  25. 25#

    小森森 (学习中……) | 2014-12-08 05:19

    厉害。。

  26. 26#

    p0di | 2014-12-08 08:41

  27. 27#

    luwikes (土豆你个西红柿,番茄你个马铃薯~~~) | 2014-12-08 09:18

    丧(gan)心(de)病(piao)狂(liang)!

  28. 28#

    国士无双 (@云诚信息) | 2014-12-08 09:42

    那不是404吗

  29. 29#

    hkAssassin | 2014-12-08 10:07

    第一步 和第二步 是如何执行的!!!

  30. 30#

    ztaosony | 2014-12-08 10:09

    楼主很吊啊

  31. 31#

    qiaoy (一顿黄金有几重?) | 2014-12-08 10:13

    屌!

  32. 32#

    insight-labs | 2014-12-08 13:26

    zip –symlinks test.zip link

    这个确定zip的不是自己本地的/etc/passwd?

  33. 33#

    test (这世间本是没有什么神仙的,但自太古以来,人类眼见周) | 2014-12-08 13:50

    这思路…

  34. 34#

    Rona (111) | 2014-12-08 13:56

    @insight-labs 有疑问,不过不确定

  35. 35#

    太阳风 (我宣你) | 2014-12-08 15:37

    还可以这样?

  36. 36#

    livers (如梦似幻) | 2014-12-08 16:03

    @insight-labs 软连接

  37. 37#

    Vigoss_Z (http://i-security.cc) | 2014-12-08 16:11

    不是base64的么,怎么返回页面的/etc/passwd没有base64
    百度网盘,qq邮箱,各大cms走起啊

  38. 38#

    Yaseng (看黄片 到 www.yaseng.org) | 2014-12-08 16:23

    @insight-labs  服务器端的  tar格式应该也可以   只要支持解压符号链接就行了

  39. 39#

    Rona (111) | 2014-12-08 17:30

    服务端自动解压压缩文件,并返回文件内容的值。软链接文件展现内容即是/etc/passwd的内容

  40. 40#

    GaRY | 2014-12-08 17:34

    好牛逼的思路

  41. 41#

    Rona (111) | 2014-12-08 17:54

    @Yaseng 目录不解析php,应该跟php无关

  42. 42#

    乐乐、 | 2014-12-09 09:43

    哈哈 这个厉害~

  43. 43#

    肉肉 | 2014-12-09 10:45

    好思路呀

  44. 44#

    Fireweed | 2014-12-09 12:22

    老外也用破解版啊pro啊

  45. 45#

    B1uH4ck | 2014-12-09 15:02

    zip:怪我咯?

  46. 46#

    蓝风 (‮#知我者謂我心憂 不知我者謂我何求#) | 2014-12-09 15:07

    哈哈

  47. 47#

    大漠長河 (专注智能家居与硬件防火墙) | 2014-12-09 15:52

    功能越多 漏洞越多
    很叼的存在

  48. 48#

    刘海哥 (‮moc.ghuil.www) | 2014-12-09 16:14

    mark

  49. 49#

    wefgod (求大牛指点) | 2014-12-10 11:02

    牛逼思路啊!

  50. 50#

    78基佬 | 2014-12-10 11:53

    牛逼

  51. 51#

    zzR | 2014-12-10 11:59

    zip:怪我咯?

  52. 52#

    _Evil (科普是一种公益行为) | 2014-12-10 15:37

    支持

  53. 53#

    hkAssassin | 2014-12-10 17:58

    –symlinks 神奇的参数!!!

  54. 54#

    w5r2 | 2015-01-10 20:44

    思路犀利~

  55. 55#

    _Evil (科普是一种公益行为) | 2015-01-14 18:22

    @xsser doc xxe嘿嘿

  56. 56#

    GrayTrack (@灰色轨迹) | 2015-01-23 10:08

    见识过老外的思路了,在一次路由器测试中,也是用软连接,回溯到系统目录