Webug4.0靶场通关笔记16- 第16关MySQL配置文件下载

目录

第16关 MySQL配置文件下载

1.打开靶场

2.源码分析

3.渗透实战

（1）Windows系统

（2）Linux系统

4、防御方法

---

本文通过《webug4.0靶场第16关MySQL配置文件下载》来进行渗透实战。文件下载是指 Web 应用程序在处理文件下载功能时，由于代码逻辑缺陷或安全措施不足，导致用户可以非法下载服务器上的敏感文件。 

第16关 MySQL配置文件下载

1.打开靶场

打开webug4靶场的第16关任意文件下载，完整URL地址以及页面如下所示。

http://192.168.71.1/webug4/control/filedownload/ini_file_download.php

构造下载文件地址，如下所示。

http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/1.txt
http://192.168.71.1/webug4/control/filedownload/ini_file_download.php?file=template/assets/img/2.txt

2.源码分析

分析可知代码对参数file未做任何过滤， 直接使用fread进行处理，存在任意文件下载，具体如下所示。

<?php// 引入公共配置文件，包含路径定义、数据库连接等基础功能
require_once "../../common/common.php";// 会话验证：检查用户是否已登录，未登录则重定向到登录页面
if (!isset($_SESSION['user'])) {header("Location:../login.php");
}// 处理文件下载请求：当用户通过GET方法传递file参数时
if (isset($_GET["file"])) {// 检查参数是否存在且不为空if (!empty($_GET["file"])) {// 构造文件路径：将用户提供的file参数与网站根路径拼接$filePath = ROOTPATH . $_GET['file'];// 提取文件扩展名（最后4个字符）$fileName = substr($filePath, -4);// 检查文件是否存在if (file_exists($filePath)) {// 以二进制模式打开文件$file = fopen($filePath, 'rb');// 设置响应头：指定内容类型为二进制流Header("Content-type: application/octet-stream");// 设置响应头：允许按字节范围请求（断点续传支持）Header("Accept-Ranges: bytes");// 设置响应头：指定文件大小Header("Accept-Length: " . filesize($filePath));// 设置响应头：强制下载并指定文件名（固定前缀"a" + 原扩展名）header('Content-Disposition: attachment; filename=a' . $fileName);// 读取文件内容并输出到浏览器echo fread($file, filesize($filePath));// 关闭文件资源fclose($file);// 终止脚本执行，防止后续内容输出exit();}}
}// 引入HTML模板文件，通常包含文件下载表单或链接列表
require_once TPMELATE."/file_download.html";

这段 PHP 代码实现了一个基于会话验证的文件下载功能。首先检查用户会话，确保只有登录用户可访问该页面。当用户通过 GET 参数传递文件名时，代码将其与网站根路径拼接构造完整文件路径，并提取文件扩展名的最后 4 个字符。接着检查文件是否存在，若存在则设置响应头信息（包括内容类型、文件大小等），并强制以固定前缀 "a" 加原扩展名的文件名下载。文件内容通过二进制模式读取并输出到浏览器。若文件不存在或未传递有效参数，则加载文件下载页面模板。该功能存在目录遍历、任意文件下载等安全风险，需加强输入验证和路径控制。

其实这个源码与上一关完全一致，对比如下所示。

3.渗透实战

相对而言是需要构造MySQL的配置文件的相对路径。

（1）Windows系统

file=../../Extensions/MySQL5.7.26/my.ini

 如下所示下载了ini文件，渗透成功。

（2）Linux系统

如下所示，webug容器的mysql.ini文件的路径如下所示。

/usr/share/php5/mysql/mysql.ini

源码的根路径如下所示。

/var/www/html

相对而言mysql.ini的相对路径如下所示。

../../../usr/share/php5/mysql/mysql.ini

如下所示渗成功下载ini文件，渗透成功。

4、防御方法

文件下载可能导致很多问题，比如敏感信息泄露和恶意软件感染。

• 敏感数据外泄： 攻击者可下载包含用户凭证、财务记录或商业机密等敏感信息的文件，导致数据泄露，对个人隐私和企业运营造成重大损害。

• 恶意软件感染： 下载文件可能携带病毒、木马等恶意程序，在设备上植入后实施数据窃取、远程控制或发起后续攻击。

为有效预防文件下载，可从输入验证、文件存储管理、安全配置、日志监控等多个方面采取措施。

预防层面	具体措施	简要说明
输入验证	白名单验证	限定合法文件名、类型及路径，仅允许下载白名单内文件
	路径验证	严格校验文件路径，防止目录遍历攻击，避免直接用用户输入拼接路径
文件存储管理	文件隔离	将可下载文件与敏感数据分开放置，设置合理访问权限
	文件名处理	规范文件名，剔除特殊字符，防止恶意篡改
安全配置	HTTP 头设置	通过设置 Content-Disposition 等头信息，确保文件以安全方式下载
	CSP 策略	利用内容安全策略，限制页面资源加载来源，防范恶意文件执行
日志监控与审计	日志记录	记录文件下载请求相关信息，便于追溯异常行为
	实时监控	借助 IDS 或 IPS 实时监测，及时阻断可疑下载操作
代码管理	代码审查	定期检查文件下载功能代码，排查验证不严格等
	安全测试	运用工具与手动测试结合，全面检测潜在安全隐患