Unsafe Filedownload - Pikachu

概述：

文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。
此时如果攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。 所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。

切记：所有与前端交互的数据都是不安全的。

靶场：

1.进入靶场，点击人名，弹出下载请求的弹窗，

下载链接为：

http://localhost/pikachu/vul/unsafedownload/execdownload.php?filename=kb.png

2.前端传递信息到后端，后端查找ai.png文件又输出到前端，用户可以在前端下载信息，

3.将filename改为获取的文件路径，成功获取hosts信息，

../../../../../../../../../../Windows/System32/drivers/etc/hosts

4.查看源代码，

查看后端源代码分析漏洞原因：

当在页面点击链接的时候，a标签会通过get请求传一个参数到后台，后台没有做任何的处理，后台会获取文件名然后直接拼接到download目录下，接着后台会对文件进行读取并计算它的长度，然后放到Header响应，最后循环读取文件字节流后返回到前端。最根本的原因就是后台没有对传进来的参数进行判断(看是否是目录里的文件)，就直接读取了。

参考：

https://www.cnblogs.com/00xHuang/p/13275000.html