文章总结： 本文系统梳理文件上传下载功能的安全测试方法，涵盖ID遍历、SQL注入、任意文件读取等漏洞场景，提供路径覆盖、OSS绕过等实战技巧及内网渗透思路，强调参数可控性检测与权限利用。 综合评分： 75 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验,安全工具

type类型任意文件读取

接口中出现type类型参数时,尝试读取文件,最不起眼的参数也可能隐藏着重大的安全风险,设计要文件相关的参数都需要铭感起来filename

GET /api/saber?type=xxxxx GET /api/saber?type=../../../../../../etc/passwd

任意文件上传/类型解析

https://mp.weixin.qq.com/s/MEodN2cUG55rOnBMz48LqA

阿里云任意文件上传的时候，先判断文件的路径和文件名是否可控，接着去同厂商的其他网站查找静态图片或文件，看是否可以相互转换，实现任意文件覆盖

上传图片任意上传html asp php的文件,如路径可控进行路径穿越

1.png --->1.php----->1.html....static/img/img1: 存放静态资源图片等信息的服务器

不做解析情况

不做解析我们修改文件类型Content-Type为我们想要的,上传的文件是HTML PDF SVG格式 不解析但是可以预览,或许是因为这个类型没有改变,把它的东西全部作为图片去解析了,尝试更改类型

(此操作情况是上传的文件支持预览操作而不是访问后直接下载,这样才有危害)

Content-Type: image/jpeg    // 正常图片类型--------------------------------------------------------Content-Type: text/html    // HTML文档类型上传.html修改Content-Type: application/pdf  // PDF文件格式Content-Type: application/x-httpd-php  // PHP格式Content-Type: application/jsp // JSP格式Content-Type: application/xml // XML格式

上传泄露bucket桶覆盖文件

STStoken覆盖文件

导入或者上传的功能点,也是上传过后响应包返回了如下数据,如不知道桶名只能源码慢慢审查,判断是哪个云厂商然后找平台文档找脚本进行应用填入对应的值,还是需要一个包一个包的找泄露

Bucket 桶名tmp_secret_keytmp_tokene-------secret_id=secret_key=

导出文件

CSV注入

其实此漏洞大多数SRC不会收取,因为危害大小完全是人为控制的,导出的xlsx没有被触发那么就一定没有效果,只能做到钓鱼的效果,但学习一下不是坏事,在不限制漏洞类型的众测中还是可以捡到钱的大部分人忽略了这个问题

CSV注入详解-先知社区

=1+cmd|'/C calc'!A0   # 弹出计算机

PDF导出SSRF内网

网页导出表格或者html文档为PDP或者图片JPG,只要抓包存在https以先测试H1标签.如果导出的PDF出现了标签代表解析HTML标签使用iframe标签新开窗测试解析DNS,只要对外发出请求了DNS收到响应,那么代码里面再嵌入内网地址读取也是SSRF再尝试file协议读取文件

https://mp.weixin.qq.com/s/ZfyJgZbuw58qK7TjjKEdmg

相关组件及业务场景尝试

从PDF导出到SSRF

• 导出PDF文件或者其他文件内容可控

• 解析HTML

导出场景

出现代码手动插入payload,插入后等待DNS响应,响应成功代表是有SSRF请求了,再利用伪协议读取文件

<img&nbsp;src="https://cdn.nlark.com/yuque/0/2025/svg/22621815/1746580510639-7332d640-7031-4964-8b00-f0932cd61bf9.svg"&nbsp;/># file协议读文件<iframe&nbsp;src="file:///etc/passwd"&nbsp;width=400height=400/>

完整的攻击文章,从导出探测到可控之后尝试读取内网再读取内网文件,但亮点是正常是通过iframe标签但这里使用的JS代码读取,之后读取的文件内容会导出到PDF

XSS到任意文件读取

导出PDF通过请求file协议读取文件,javascript将在服务器端执行，通过注入以下 代码从文件系统进行文件的读取

<script>x=new&nbsp;XMLHttpRequest;x.onload=function(){document.write(this.responseText)};x.open('GET','file:///etc/passwd');x.send();</script>

绕过

当一些特殊标签比如0秒刷新请求元数据绕过方式

看不懂这个方式,不过也是插入下面的语句到导出的功能,之后的PDF就会带出内网信息

<meta&nbsp;http-equiv="refresh"&nbsp;content="0;url=http://metadata.tencentyun.com/latest/meta-data"&nbsp;/>

未授权导出CSRF+邮箱接收

功能点导出信息会被发送到指定的邮箱进行接收,邮箱发送地址可控,导出文件也会有数据包链接,如果导出没有校验,我们把导出的请求做成CSRF给受害者,地址为攻击者,这样受害者在登录状态下点击执行了导出的请求,那么个人就发送到攻击者的邮箱上,拓展想一下的话并不是导出这个地方可以,比如邀请、发送、铭感信息的交互给第三方,无Token鉴权功能都可以尝试CSRF打出组合的效果

导出置空参数

公众号学习到的思路也是采取了模糊查询手法,涉及到用户场景都可以尝试置空或%往往会有意想不到的效果,

后台回复加群加入交流群

广告：cisp pte/pts &nisp1级2级低价报考

陌笙安全纷传圈子+陌笙src挖掘知识库+陌笙安全漏洞库+陌笙安全面试题库简单介绍（加入纷传圈子送知识库+漏洞库+面试题库）

如果觉得合适可以加入,圈子目前价格39.9元，价格只会根据圈子内容和圈子人数进行上调，不会下跌。。。

圈子福利

edu漏洞挖掘1v1指导出洞

陌笙src挖掘知识库介绍（内容持续更新中）

信息收集(会永久提供fofa-key助力)弱口令漏洞任意文件读取&删除&下载漏洞sql注入漏洞url重定向漏洞未授权访问漏洞挖掘XSS漏洞挖掘等等常见漏洞EDUSRC证书站挖掘案例分享SRC挖掘实战针对各种常见功能总结的常见测试思路等经典常见Nday漏洞复现等各模块不在一一介绍

src挖掘基础

src挖掘实战

edusrc

经典nday复现

陌笙安全漏洞库介绍

1day&0day分享EDU学校相关漏洞Web应用漏洞CMS漏洞OA产品漏洞中间件漏洞云安全漏洞人工智能漏洞其他漏洞

陌笙安全面试库

渗透测试基本问题一汇总渗透测试基本问题二汇总渗透测试基本问题三汇总微步护网面试题目长亭科技面试深信服护网面试启明星辰渗透测试面试题目安恒面试题目360面试奇安信护网面试运维面试题目运维面试题库网安面试相关文档大全相关面试文章推荐等等

陌笙纷传圈子介绍

1、src挖掘思维导图，信息收集思维导图，edusrc挖掘思维导图，以及后续的红队&面试思维导图&自己网安笔记等持续更新2、2025-2026的edusrc实战报告包含证书站和非证书站以及2025之前的各种优质报思路分享3、各种src报告思路分享（内部&外部）4、分享各种src挖掘&edusrc挖掘培训资料&视频5、不定期分享通杀、0day6、有圈子群可以技术交流以及不定期抽取证书&免费rank7.分享各种护网资料各家安全厂商讲解视频&精选实战面试题目8、各种框架漏洞技巧分享9、各种源码分享（泛微、正方系统、用友等）10、漏洞挖掘工具&信息收集工具&内网渗透免杀等网安工具分享11、各种ctf资料以及题目分享12、cnvd挖掘技巧&CNVD资产&src资产分享&补天1权重资产分享&fofakey共用13、免杀、逆向、红队攻内网防渗透等课程分享14、漏洞库&字典以各种内容不在一一说明15、cisp-pte/pts&nisp一级&nisp二级&edusrc证书内部价格15、如果有漏洞挖掘问题或者工具资料需求可以找群主(尽量满足)

目前650多条内容，扫码查看详情，持续更新中。。

如果觉得合适可以加入，价格不定期会根据圈子内容和圈子人数进行上调。。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 xiaoY xiaoY《文件上传操作漏洞场景挖掘思路》