文件上传操作漏洞场景挖掘思路<\/h1>

文件下载相关漏洞<\/h2>

1. 文件ID遍历\/注入<\/h3>

漏洞特征<\/strong>：<\/p>

下载接口出现敏感信息<\/li>
存在数字ID参数(userId, orderid等)<\/li>
GET\/POST参数中包含文件标识<\/li> <\/ul>
测试方法<\/strong>：<\/p>

尝试ID值+1\/-1修改<\/li>
观察响应变化(如数据量、包长变化)<\/li>
构造SQL注入测试：id=2-1<\/code>观察是否执行运算<\/li>
尝试IDOR越权(需注意鉴权字段)<\/li> <\/ul> 示例<\/strong>：<\/p> apis\/download?id=1 → 包长6360 apis\/download?id=2 → 包长6364 apis\/download?id=2-1 → 包长6360(确认SQL注入) <\/code><\/pre> 2. 任意文件读取<\/h3> 常见参数<\/strong>：<\/p> file, filePath, files, filename等<\/li> <\/ul> 测试方法<\/strong>：<\/p> 尝试路径遍历：file=..\/..\/etc\/passwd<\/code><\/li> 测试伪协议：file:\/\/\/etc\/passwd<\/code><\/li> 观察图片链接形式：http:\/\/file\/\/etc\/passwd<\/code><\/li> <\/ul> 权限判断<\/strong>：<\/p> 尝试读取\/root\/.bash_history<\/code>判断root权限<\/li> 读取\/proc\/self\/status<\/code>获取当前进程UID\/GID<\/li> 读取\/etc\/passwd<\/code>获取系统用户信息<\/li> <\/ul> 3. type参数文件读取<\/h3> 测试方法<\/strong>：<\/p> 修改type参数尝试读取文件<\/li> 即使看似无关的参数也可能存在风险<\/li> <\/ul> 4. 400状态码路径遍历<\/h3> 特殊场景<\/strong>：<\/p> 直接在URL路径上进行遍历测试<\/li> 响应400时仍可能成功读取<\/li> <\/ul> 文件上传相关漏洞<\/h2> 1. 路径可控覆盖<\/h3> 判断方法<\/strong>：<\/p> 观察请求\/响应包中的路径回显<\/li> 修改路径参数测试是否可控<\/li> <\/ul> 利用方法<\/strong>：<\/p> 使用..\/<\/code>实现跨目录上传<\/li> 覆盖网站关键文件<\/li> 上传webshell到web目录<\/li> <\/ul> 2. 上传路径推测<\/h3> 方法<\/strong>：<\/p> 删除回显路径的第一层目录尝试<\/li> 拼接常见web目录结构<\/li> 如回显saber\/1.txt<\/code>尝试直接上传到根目录<\/li> <\/ul> 3. OSS云存储相关<\/h3> 验证方式<\/strong>：<\/p> 未上云且可预览：直接上传HTML测试XSS<\/li> 阿里云OSS：查找同厂商其他站点静态文件测试覆盖<\/li> 泄露bucket桶名：利用脚本覆盖文件<\/li> <\/ol> 4. 内容类型绕过<\/h3> 方法<\/strong>：<\/p> 上传.jpg后缀但Content-Type改为text\/html<\/li> 上传.htaccess文件控制解析<\/li> 上传SVG\/PDF等包含恶意代码<\/li> <\/ul> 5. 高级利用技巧<\/h3> XXE利用<\/strong>：<\/p> 修改XLSX\/PPTX文件插入XXE payload<\/li> 利用DOCTYPE声明读取文件或SSRF<\/li> <\/ul> 软链接攻击<\/strong>：<\/p> 创建指向敏感文件的软链接并打包为zip上传<\/li> 系统解压时会读取目标文件内容<\/li> <\/ul> CSRF组合<\/strong>：<\/p> 可控img参数构造CSRF请求<\/li> 结合退出功能实现强制登出<\/li> <\/ul> RCE利用<\/strong>：<\/p> 文件名重命名参数可能调用系统命令<\/li> 使用|<\/code>等符号注入命令<\/li> <\/ul> 导出功能相关漏洞<\/h2> 1. CSV注入<\/h3> 方法<\/strong>：<\/p> 在导出数据中插入公式：=cmd|' \/C calc'!A0<\/code><\/li> 当用户打开Excel时会执行命令<\/li> <\/ul> 2. PDF导出SSRF<\/h3> 测试步骤<\/strong>：<\/p> 插入<iframe src="http:\/\/dnslog.cn"><\/code>测试解析<\/li> 确认后使用file协议读取文件：<script>document.write('<iframe src="file:\/\/\/etc\/passwd">')<\/script><\/code><\/li> 文件内容会出现在导出的PDF中<\/li> <\/ol> 3. 未授权导出+CSRF<\/h3> 利用链<\/strong>：<\/p> 发现导出功能发送结果到指定邮箱<\/li> 构造CSRF请求将结果发送到攻击者邮箱<\/li> 诱骗已登录用户点击<\/li> <\/ol> 4. 参数置空技巧<\/h3> 方法<\/strong>：<\/p> 对模糊查询功能尝试置空参数<\/li> 使用%<\/code>通配符测试信息泄露<\/li> <\/ul> 防御建议<\/h2> 严格校验文件上传路径和名称<\/li> 实施完善的权限控制系统<\/li> 对用户输入进行严格过滤和转义<\/li> 禁用危险的文件操作函数<\/li> 限制文件上传类型和内容检查<\/li> 实施CSRF防护机制<\/li> 对导出功能增加权限校验和确认步骤<\/li> <\/ol> 通过系统性地测试上述各个场景，可以全面挖掘文件操作相关的安全漏洞，包括但不限于任意文件读取、文件覆盖、RCE、SSRF、CSRF等高风险漏洞。<\/p>