**不安全的文件下载**
当源码执行下载命令时执行以下操作
<?php
$PIKA_ROOT_DIR = "../../";
include_once $PIKA_ROOT_DIR."inc/function.php";//包含function.php
header("Content-type:text/html;charset=utf-8");
// $file_name="cookie.jpg";
$file_path="download/{$_GET['filename']}";//规定下载文件的路径范围
//用以解决中文不能显示出来的问题
$file_path=iconv("utf-8","gb2312",$file_path);
//首先要判断给定的文件存在与否
if(!file_exists($file_path)){
skip("你要下载的文件不存在,请重新下载", 'unsafe_down.php');
return ;
}
$fp=fopen($file_path,"rb");
$file_size=filesize($file_path);
//下载文件需要用到的头
ob_clean();//输出前一定要clean一下,否则图片打不开
Header("Content-type: application/octet-stream");
Header("Accept-Ranges: bytes");
Header("Accept-Length:".$file_size);
Header("Content-Disposition: attachment; filename=".basename($file_path));
$buffer=1024;
$file_count=0;
//向浏览器返回数据
//循环读取文件流,然后返回到浏览器feof确认是否到EOF
while(!feof($fp) && $file_count<$file_size){
$file_con=fread($fp,$buffer);
$file_count+=$buffer;
echo $file_con;
}
fclose($fp);
1.那么我们尝试对页面进行修改
#尝试1对../进行过滤
$_GET['filename']=str_replace("../","",$_GET['filename']});
当我们尝试使用以上代码加入时,我们再去尝试利用时发现已经无法利用
尝试绕过此项过滤
方法1:使用双写方法进行绕过
....//
方法二:..\
因为该函数只是过滤了../但是并没有过滤..\所以还是可以被任意文件下载包含
2.我们使用白名单机制:
这样的话可以尝试使用in_array函数进行强制判断
$array1=array("ai.png","bigben.png");
if(!in_array($_GET['filename'],$array1)){
die("sorry");}
再次我们尝试可以绕过此代码吗
