Posted on

windows 파일 다운로드 취약점

샌드 박스 이스케이프 어는 두 문제 간의 차이를 강조 하 고, 개념 증명 (PoC)을 공개 하는 이후 트 윗에서 «파일에는 쓰레기를 쓰지 않지만 실제로는 삭제 합니다» 라고 말합니다. Https://www.dokuwiki.org/lib/exe/ajax.php의 call = 매개 변수는 사용자 입력을 제대로 인코딩하지 않으므로,이로 인해 반사 된 파일 다운로드 취약점이 발생 합니다. 참고: 약속 대로, 나는 지금 다운로드에 사용할 수 있는 전체 백서를 게시 했습니다: 백서 «반사 파일 다운로드: 새로운 웹 공격 벡터를»가 렌 Hafif에 의해. 0 패치는 이제 완전히 업데이트 된 윈도우 10 1803에 대 한 마이크로 패치의 안정 버전을 제공 합니다: 도전적인 부분. IE 11에서 JSON/JSONP API url에 도달 하는 경우 응답이 파일 이름 .json으로 다운로드 된다는 것을 알 수 있습니다. 파일 이름은 주로 http 콘텐츠-처리 헤더 및 URL에 종속 됩니다. 이렇게 하면 동적 페이지가 파일 시스템에서 .ini 파일을 검색 하 여 사용자에 게 표시 합니다. 식입니다. /일반적으로 운영 체제 지시문으로 사용 되는 하나의 디렉토리 위로 이동 하도록 시스템에 지시 합니다. 공격자는 그가 시스템에 Windows 폴더를 찾기 위해가 야 얼마나 많은 디렉토리를 추측 할 수 있지만, 이것은 쉽게 시행 착오에 의해 수행 된다. Html 페이지 열기 링크를 클릭 하면 파일이 설치 프로그램으로 다운로드 됩니다. 파일 이름 = expand_path (__FILE__), «(파일.

/.. @file expand_path)) 파일 이름 = 파일명 = public_filename) 루트 디렉토리는 사용자가 제한 되는 서버 파일 시스템의 특정 디렉토리입니다 (기본값). 사용자는이 루트 위에 아무것도 액세스할 수 없습니다. 발견 뒤에 온라인 별칭을 사용 하 여 연구원입니다 Sandbox도피, 또한 공개적으로 공유에 대 한 책임 8 월 후반 다른 보안 버그 Windows 작업 스케줄러 구성 요소. 나는 하나의 응용 프로그램의 보안 평가 동안 말했듯이, 나는 당신이 당신의 의견을 게시 하 고 메시지의 지원에 모든 파일을 첨부 할 수 있는 하나의 메시징 섹션을 발견 했다. 이 응용 프로그램은 메시지를 즉시 반영 하 고 커뮤니티와 공유 하는 실시간 메시징을 위해 구축 되었습니다 (예를 든 트위터). 그래서 사용자 postand 메시지를 읽고, 업로드 및 다운로드 첨부 파일이 있는 경우. 다운로드 섹션은 특히 관심을 받았습니다. 이 URL을 사용 하면 브라우저가 서버에서 asp 동적 페이지 표시를 요청 하 고이를 사용 하 여 매개 변수 보기를 oldarchive .html 값으로 보냅니다.

웹 서버에서이 요청을 실행 하면 .asp가 서버의 파일 시스템에서 파일을 검색 하 고 렌더링 한 다음 사용자에 게 표시 되는 브라우저로 다시 보냅니다. 공격자는 .asp가 파일 시스템의 파일을 검색 하 여 다음 사용자 지정 URL을 보낼 수 있다고 가정 합니다. 2) 실행 파일이 다운로드 되어 사용자의 컴퓨터에 저장 됩니다. 모든 보안 표시기는 신뢰할 수 있는 웹 사이트에서 파일이 «호스팅되는» 것을 보여 줍니다. 이 취약점을 악용 하기 위해 파일 형식을 cmd.exe, .bat 또는 .exe로 변경 하 여 실행할 수 있습니다. 방법? 디렉터리 순회 공격을 수행 하기 위해 공격자는 웹 브라우저와 시스템의 기본 파일 및 디렉터리를 맹목적으로 찾을 수 있는 위치에 대 한 지식이 있어야 합니다.