티스토리 뷰

파일을 다운로드하는 코드입니다.

파일 다운로드 취약점 실습 목적으로 만든 코드이므로 허술할 수 있습니다 ㅎㅎ... ^^

파일 다운로드 취약점 공격 실습이 궁금하다면?

https://duni0107-day.tistory.com/78

 

파일 다운로드 (File Download) 취약점 공격

파일 다운로드 취약점에 대해 알고싶다면? https://duni0107-day.tistory.com/77?category=692193 파일 다운로드 취약점 파일 다운로드 취약점이란? → 허용된 파일 외의 허용되지 않은 파일이 다운로드 됨 파..

duni0107-day.tistory.com

 

 

<download.php>

<?php 

$file_name = $_GET['path'];
//$file = './';
$file = $file_name;

header('Content-type: application/octet-stream'); 
header('Content-Disposition: attachment; filename="' . $file_name . '"');
header('Content-Transfer-Encoding: binary'); 

$fp = fopen($file, 'rb'); 
fpassthru($fp);
fclose($fp);

?>

 

코드 내용을 간단하게 설명하자면 

 

$file_name : $_GET['path'] : 파일명은 GET방식으로 받아옴

$_file : 경로

Content-type : 파일 형태

Content-Disposition : attachment - 강제로 가져옴

Content-Transfer-Encoding : binary - 인코딩 하지 않음

 

 

파일 다운로드는

Content-Disposition : attachment

Content-Transfer-Encoding : binary

두개만 있으면 할 수 있음

 

 

<결과물>

 

파일 다운로드를 위해서 a태그로 download.php로 msg.txt파일명을 넘겨줌

 

 

태그를 누르면 msg.txt가 정상적으로 다운로드 됨

공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday