Facebook本地文件读取漏洞（已修复） -- WooYun(白帽子技术社区) -- 网络安全资讯、讨论，跨站师，渗透师，结界师聚集之地又一个有意思的地方

当前位置：WooYun(白帽子技术社区) >> 我们都是猥琐流 >> Facebook本地文件读取漏洞（已修复）

Facebook本地文件读取漏洞（已修复）

| 2014-12-07 13:49

from:http://josipfranjkovic.blogspot.com/2014/12/reading-local-files-from-facebooks.html

出问题的地方是在上传简历那里，可以上传任意后缀，上传一个a.php文件，很正常没有执行php，也没有得到文件路径，但是文件的内容以base64编码的方式返回了，接下尝试把文件名改为 /etc/passwd，file:///etc/passwd 都没有成功。

接下来尝试上传一个压缩的 .php 文件，返回信息是

//包含php文件，没有解压缩 unzipped,base64'd contents of .php

服务器会做一次解压缩，作者的猥琐思路开始了：

1.创建一个链接文件到/etc/passwd

ln -s /etc/passwd link

2. 压缩文件，同时保留链接

zip --symlinks test.zip link

3.上传test.zip文件，系统会自动解压缩

4. 页面当中会返回/etc/passwd的内容。

分享到：

53 个回复

1#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Yaseng (看黄片到 www.yaseng.org) | | 2014-12-08 16:22

哈哈这个是php bypass open_basedir 的一个向量,只要web server 支持读取符号链接文件就行
linke:http://cxsecurity.com/issue/WLB-2009110068
2#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2014-12-07 13:50

哈哈哈牛逼
3#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

xsser (十根阳具有长短!!) | 2014-12-07 13:52

zip文件是个危险的文件了，docx也是嘿嘿
4#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

疯子 (世人笑我太疯癫，我笑世人看不穿。) | 2014-12-07 13:53

哈哈哈牛逼
5#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

0x_Jin (世上人多心不齐) | 2014-12-07 13:53

！！！！！为何这么YD！！！！！
6#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

px1624 (aaaaaaaaa) | 2014-12-07 13:57

赞
7#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Mody | 2014-12-07 14:09

牛逼
8#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

jeffreys125 | 2014-12-07 14:37

够猥琐
9#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

RainShine (I'm your angel of music.) | 2014-12-07 15:01

猥琐啊……
10#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

M4ster (Black || White) | 2014-12-07 15:15

牛逼，脸谱有奖励么？
11#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Hxai11 (星辰将为你的眼，而风儿则为你的双手) | 2014-12-07 15:46

太猥琐了。。
12#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Mujj (为何我的眼中饱含泪水？因为我装逼装的深沉) | 2014-12-07 16:31

@M4ster 不低
13#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

园长 (喵~) | 2014-12-07 16:33

叼
14#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

lxj616 (简介) | 2014-12-07 16:38

神奇
15#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

mramydnei | 2014-12-07 16:44

unzipped, base64'd contents of .php

虽然赶起本地文件读取弱太多，但还是好奇文件扩展名改成xss payload会怎么样。

毕竟扩展名是没有做编码处理的。
16#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

孤月寒城 (握了棵草) | 2014-12-07 18:06

牛逼啊
17#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

咖啡 (SELECT) | 2014-12-07 18:11

打不开
18#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

糖剩七颗 (退潮后才发现自己原来一直在裸泳) | 2014-12-07 18:17

要不要这么叼
19#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

无敌L.t.H (‮……天百一爱恋考高：簿相色白产国) | 2014-12-07 19:14

看来apk也要中枪，坐等Play商店的0day……
20#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

s3xy (相濡以沫，不如相忘于江湖) | 2014-12-07 19:20

b
21#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

YHHK (淡定。) | 2014-12-07 20:04

哇呜。。。牛逼
22#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Jumbo (www.chinabaiker.com) | 2014-12-07 20:34

返回的不应该是base64编码后的吗
23#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小龙 | 2014-12-07 22:54

zip都能引起恐慌了
24#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

_Thorns (创业公司招聘系统运维、软件逆向、数据可视化攻城狮。) | 2014-12-07 22:55

碉堡了。
25#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

小森森 (学习中……) | 2014-12-08 05:19

厉害。。
26#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

p0di | 2014-12-08 08:41

刁
27#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

luwikes (土豆你个西红柿，番茄你个马铃薯～～～) | 2014-12-08 09:18

丧(gan)心(de)病(piao)狂(liang)！
28#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

国士无双 (我来找快乐。) | 2014-12-08 09:42

那不是404吗
29#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

hkAssassin | 2014-12-08 10:07

第一步和第二步是如何执行的！！！
30#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

ztaosony | 2014-12-08 10:09

楼主很吊啊
31#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

qiaoy (一顿黄金有几重？) | 2014-12-08 10:13

屌！
32#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

insight-labs (Root Yourself in Success) | 2014-12-08 13:26

zip --symlinks test.zip link

这个确定zip的不是自己本地的/etc/passwd?
33#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

test (这世间本是没有什么神仙的，但自太古以来，人类眼见周) | 2014-12-08 13:50

这思路...
34#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Rona (111) | 2014-12-08 13:56

@insight-labs 有疑问，不过不确定
35#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

太阳风 (我宣你) | 2014-12-08 15:37

还可以这样？
36#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

livers (如梦似幻) | 2014-12-08 16:03

@insight-labs 软连接
37#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Vigoss_Z (http://i-security.cc) | 2014-12-08 16:11

不是base64的么，怎么返回页面的/etc/passwd没有base64
百度网盘，qq邮箱，各大cms走起啊
38#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Yaseng (看黄片到 www.yaseng.org) | 2014-12-08 16:23

@insight-labs 服务器端的 tar格式应该也可以只要支持解压符号链接就行了
39#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Rona (111) | 2014-12-08 17:30

服务端自动解压压缩文件，并返回文件内容的值。软链接文件展现内容即是/etc/passwd的内容
40#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

GaRY | 2014-12-08 17:34

好牛逼的思路
41#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Rona (111) | 2014-12-08 17:54

@Yaseng 目录不解析php，应该跟php无关
42#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

乐乐、 | 2014-12-09 09:43

哈哈这个厉害~
43#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

肉肉 (我我我我我我是乌云头号美男子) | 2014-12-09 10:45

好思路呀
44#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

Fireweed | 2014-12-09 12:22

老外也用破解版啊pro啊
45#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

B1uH4ck | 2014-12-09 15:02

zip:怪我咯？
46#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

蓝风 (‮#知我者謂我心憂不知我者謂我何求#) | 2014-12-09 15:07

哈哈
47#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

大漠長河 (专注智能家居与硬件防火墙) | 2014-12-09 15:52

功能越多漏洞越多
很叼的存在
48#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

刘海哥 (‮moc.ghuil.www) | 2014-12-09 16:14

mark
49#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

wefgod (求大牛指点) | 2014-12-10 11:02

牛逼思路啊！
50#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

78基佬 | 2014-12-10 11:53

牛逼
51#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

zzR (你说我不能笑- -!) | 2014-12-10 11:59

zip:怪我咯？
52#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2014-12-10 15:37

支持
53#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

hkAssassin | 2014-12-10 17:58

--symlinks 神奇的参数！！！
54#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

w5r2 | 2015-01-10 20:44

思路犀利~
55#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

_Evil (科普是一种公益行为) | 2015-01-14 18:22

@xsser doc xxe嘿嘿
56#
回复此人感谢
"感谢"将向此回复作者赠送1个乌云币。

GrayTrack (@灰色轨迹) | 2015-01-23 10:08

见识过老外的思路了，在一次路由器测试中，也是用软连接，回溯到系统目录

Facebook本地文件读取漏洞（已修复）

添加新回复

WooYun(白帽子技术社区)

其它内容