文件下载代码审计

下面我以Ear_Music_20180820_UTF8cms为例，进行对文件下载的代码审计。
常见的下载或读取函数: file_get_contents()、readfile() 、fopen()，或者用seay源代码审计搜索down类似相关的词。
一搜也发现这里的文件漏洞贼多，注入也很多。

我先在页面找到下载的功能点：
这样我们就能进行函数追踪，审视一下这代码了
代码目录为\template\default\source\down.php

当传入一个$file就直接读取这文件了，我们可以看到这个$file经过了geturl函数和getfield函数的处理，我们可以分别跟踪一下

geturl就是取这个对应歌曲的url，然后进行处理拼接，和匹配一些特殊情况而言，没经过什么过滤，就是你读什么文件的路径他就返回什么路径给你。

getfield()函数从函数名称就能看出来是用来获取数据库信息的，没什么特别过滤。
我们就算知道下载读取文件没有漏洞，但是我们的入口在哪里，怎么读？
其实从一开始我们可以看出，这个cms读取文件是对应着id的，只要我们上传一个歌曲就会分到一个id，但是读取的地址lyric是我们上传上去的自己写的，所以我们构建读取文件的payload可以从这里写入。

就是说我们的触发点是这个上传的地址，只要在这里上传一个我们想访问的地址，然后下载这个歌曲歌词，就能下载我们想看的文件了。
审视上传歌词文件：
路径为\source\user\music\ajax.php
一眼锁定lyric参数，看到有checkrename(),unescape(),SafeRequest()三个函数过滤一
个一个看

首先SafeRequest()函数，可以看到addslashes()、实体化和替换 \\ 为 空的过滤
unescape() 函数，乍一看是防止sql注入的，其实也是过滤\\ 的

checkrename()函数，这里是进行了正则匹配，当匹配到： ./ 、 ?iframe= 、 .php? 任意一个时，显示 Safety filter 字段进行过滤，还有函数就是过滤 / 的。
这样我们总结利用一下：
读取路径：
F:\WLGF\software\Php
Study2018\PHPTutorial\WWW\Ear_Music_20180820_UTF8\source\system\user.php

因为/ 过滤了我们可以用 \ 替换，匹配.php?我访问 .php就绕过了，还加？作甚

payload：
F:/WLGF/software/Php
Study2018/PHPTutorial/WWW/Ear_Music_20180820_UTF8/source/system/user.php
成功读取文件。