想要挖掘一个漏洞我们首先就要知道这个漏洞是如何产生的。

1.漏洞产生原理

文件下载处没有对用户请求的文件类型和下载路径进行过滤。导致用户通过路径回溯符../等相关操作，跳出了程序本身的限制目录，然后再利用文件下载功能，使前端下载请求可以下载服务器中的任意文件。

2.漏洞利用

找到一个没有做过滤的文件下载功能，利用../ ../来逐层猜测路径,如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。

3.案例

使用http://down.znds.com讲解

进入网站找到一个可以下载的软件，在下载按钮处右键 复制链接地址 就能得到软件下载地址：http://down.znds.com/getdownurl/?s=L2Rvd24vMjAyMjA5MjIvdHhzcDE2MTU4XzEwLjUuMC4xMDA5X2RhbmdiZWkuYXBr

可以发现下载地址s参数有base64加密，我们使用解密工具解密得到/down/20220922/txsp16158_10.5.0.1009_dangbei.apk，下载地址就是：http://down.znds.com/getdownurl/?s=/down/20220922/txsp16158_10.5.0.1009_dangbei.apk

那么我们此时就可以使用文件下载漏洞，如果http://down.znds.com下面有一个index.php文件，我们想下载他，那么我们就可以先对/index.php文件进行base64编码得到L2luZGV4LnBocA==，然后将编码放到下载地址的s参数后得到http://down.znds.com/getdownurl/?s=L2luZGV4LnBocA==，使用浏览器访问就可以成功下载index.php文件。前提是网站未做过滤或者过滤可以绕过。

4.危害

可以下载服务器的任意文件

获得网站web源码，再对代码进行审计，以获得更多的漏洞

获得网站、服务器、系统、数据库等中间件配置文件

获得应用于系统配置文件

对内网的信息进行一个探测

下载各种.log文件，并寻找后台地址、文件上传点等地方

5.防护

对用户请求的文件类型和下载路径进行过滤

• 对下载路径进行过滤，如下载前对传入的参数进行过滤，并且对下载文件类型进行检查，是否是允许下载的类型

• 过滤.(点)，使用户在url中不能回溯上级目录

• 正则严格判断用户输入参数的格式

• php.ini配置open_basedir限定文件访问范围