独立开发者@董川民

Just So So ...

.NET代码审计之任意文件读取

为了更好.NET内置多种方法可用于文件读取,文件流FileStream,文本流StreamReader,二进制读取BinaryReader

File.OpenRead

某CMS案例读取文件内容返回byte字节,Window下可利用 ../ 或 \.. 跳转目录,成功读取web.config内容.
.NET代码审计之任意文件读取

.NET代码审计之任意文件读取

File.OpenText

.NET内置方法用于打开现有的UTF-8编码文本文件进行读取
public string ReadFile(string fileOpenPath){           if (!System.IO.File.Exists(fileOpenPath))        {            return null;        }        using (System.IO.StreamReader sr = System.IO.File.OpenText(fileOpenPath))         {            return  sr.ReadToEnd().ToString();        }}
本文作者:专攻.NET安全的信息来源:公众号 dotNet安全矩阵所属分类:.NET

董川民

Life is like a box of chocolates,you never know what you're going to get.
ChongQing Movie Motorcycle Website