漏洞概述：

在测试某网的时候，发现几个小漏洞。后来通过组合拳，变成了任意文件下载。

漏洞详情：

漏洞一：水平越权下载大头照。

访问xx网，登录账号。

登录进去之后，打开f12网络，然后点击大头照。在加载大头照的时候，就能找到大头照的链接。

其中filename参数值是base64编码后的文件夹名+学号。

直接访问该链接，然后直接弹出下载内容。

复制filename参数值，在brp进行解密，修改解密后的学号，再进行base64编码。

把filename参数值替换，就能下载别人的大头照。

漏洞二：目录遍历漏洞

首页有个 文件下载 的功能。

同样，打开f12网络后点击 文件下载。

找到getFileList这个链接。

复制这个链接在新页面打开，并且post方式提交path参数值。就能看到当前路径的文件。

上一层路径，Path=../

Path=../../

Path=../../../

Path=../../../../ 这个路径已经是根目录，因为看到了回收站$RECYCLE.BIN。

漏洞三：任意文件下载

首页点了文件下载之后，可以下载部分文件。

复制 “下载” 按钮的链接，这个URL有两个参数，一个是路径加上文件名，一个是下载文件命名。

不管是下载文件还是下载命名都是可以修改，并且下载成功。

组合拳：

通过漏洞二的目录遍历，结合漏洞三的任意文件下载。

发现服务器上有备份网站源码。

论文。

漏洞三的任意文件下载其实有限制，由于年代久远，我不知道是中文路径还是超过两个“../”路径就会被安全规则拦截掉，然后拉黑ip半小时。

但是可以通过漏洞一的水平越权下载任意文件。

因为安全规则是死的，而漏洞一下载文件时，填写的文件名是base64编码后的。所以不管是中文路径还是超过两个路径”../”，都可以下载。

由于没有截图，就看看文字吧。

声明：以上漏洞均已修复，发表只为交流学习。他人模仿测试责任自负，与本人无关。

「华盟学园」 知识星球现已开启！ 一个学习网络安全知识和分享工具的星球，网络安全大佬在线分享技术文章，大家一起学习、共同进步！