1、起因

日常閑逛，翻到了某后臺系統(tǒng)

先是日常手法操作了一番，弱口令走起

admin/123456 yyds！

U1s1，這個(gè)后臺功能點(diǎn)少的可憐，文件上傳點(diǎn)更是別想

不過那個(gè)備份管理的界面引起了我的興趣，似乎有點(diǎn)意思

filename參數(shù)后面直接跟上了文件名，這很難讓人不懷疑存在任意下載漏洞

抓包，放到burp中，發(fā)現(xiàn)果然存在任意文件下載

2、經(jīng)過

經(jīng)過fofa收集，我發(fā)現(xiàn)這是一個(gè)小通用，正當(dāng)我打算興致勃勃的打一發(fā)別的目標(biāo)時(shí)，卻發(fā)現(xiàn)這只是個(gè)后臺洞，backup功能點(diǎn)需要管理員權(quán)限

直接302跳轉(zhuǎn)了，暈

運(yùn)用了常規(guī)手法，也bypass失敗了

好了，此處漏洞挖掘到此結(jié)束

身為一個(gè)有菜又愛玩的家伙，我怎么可能輕言放棄呢？

本來打算批量掃備份拿源碼，但后面發(fā)現(xiàn)，github的鏈接就在后臺介紹處。。。

好家伙，我直呼好家伙，真是踏破鐵鞋無覓處

拿到源碼，趕緊在本地翻配置文件

spring+shiro的典型組合，嗯，剛好沒學(xué)到過【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

憑著典型的腳本小子的思想，我考慮到了shiro的權(quán)限分配的較死，從邏輯層繞過估計(jì)是中彩票

想到f12sec有位師傅發(fā)表過shiro權(quán)限繞過的文章，可以利用shiro權(quán)限繞過，達(dá)到前臺任意下載

但是嘗試了網(wǎng)上公開的幾種exp，發(fā)現(xiàn)均失敗了

/;/------>302跳轉(zhuǎn)

/;a/------>302跳轉(zhuǎn)

末尾加上"/"------>302跳轉(zhuǎn)

/fdsf;/…/------>302跳轉(zhuǎn)

怎么回事小老弟，我的200呢w(ﾟДﾟ)w

最后，發(fā)現(xiàn)是我的姿勢錯(cuò)了，在https://www.freebuf.com/vuls/231909.html中，我找到了答案

先了解點(diǎn)前置知識（大佬繞過）：

? Shiro的URL路徑表達(dá)式為Ant 格式，路徑通配符支持?***。

?：匹配一個(gè)字符 *：匹配零個(gè)或多個(gè)字符串 **：匹配路徑中的零個(gè)或多個(gè)路徑

上面的文章里解釋的很清楚了，如果URI中存在;號的話，則會刪除其后面的所有字符。/fdsf;/…/hello/1/最終也就變成了/fdsf。

而我們這款web應(yīng)用遇到不符合的目錄就直接跳轉(zhuǎn)了，所以，想要利用這個(gè)權(quán)限繞過，必須要有以下條件

1、存在，并且是anon權(quán)限的目錄

2、要以路徑通配符**結(jié)尾

很幸運(yùn)，這款web應(yīng)用中就有這樣的目錄

經(jīng)過測試，images目錄可行

然后手動構(gòu)造，burp發(fā)包，蕪湖，成功前臺任意下載！

3、結(jié)果

很多對漏洞的理解是基于想象的，如果有不妥當(dāng)之處，請各位大佬指出嘿嘿

另外我這邊整理了一些最新的【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】

總結(jié)

以上是生活随笔為你收集整理的【安全漏洞】一次前台任意文件下载漏洞挖掘的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。