某系统存在任意文件下载漏洞

穷者，谁不想达，达者，更畏惧穷。为求发达，穷人兢兢业业，辛辛苦苦，农耕其田，工利其器，商务其业，学读其书，人人都在独善其身，可除了那些少数的书生可以考取功名，通过科举，其他大部分人，仍然生活在艰难困苦中，是他们不努力吗？是他们不上进吗？非也，皆因如今的达者，不愿意，也不允许，把发达的机会赐与穷人，更不愿意与他们分享锦衣玉食。他们视穷为一种羞耻，也更因为他们曾经目睹诸多的显贵之人，在尔虞我诈中失败沦为穷人，于是更加惧怕贫穷。因此他们便不遗余力的压榨穷人，聚敛财富，以求将这种发达保持永久，福荫子孙。在他们眼中，所谓的天下，不过是他们鼻子尖上，那一点点的金钱和地位。所谓上行而下效，穷者见达者，做出如此不光彩的榜样。为求发达，只能另辟蹊径。农弃其耕田而不做，或进城流浪，或落草为寇。工弃其利器而不用，或聚赌成瘾，或狂饮作乐。商弃其贸易而不做，或巴结权贵，或放贷渔利。学弃功课而不专，或投机取巧，或攀龙附凤。尽管有些人还在口口声声说圣贤道德，那也只不过是修炼成了一个伪君子而已。其实，圣人古训本来无错，只是我们今人是否应该扪心自问一下。穷时，我们心忧天下了吗？而今的达者，是否应该修缮自心，诚所谓，已不正焉能正人！

漏洞描述

某系统download.php文件过滤不全 存在任意文件下载漏洞

漏洞实战

出现漏洞的文件为 download.php， file参数 为可控参数且没有过滤参数，导致可以下载任意文件

访问漏洞url：

http://xxx/download.php?file=/etc/passwd                              

漏洞证明：

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。

CSDN:
https://rdyx0.blog.csdn.net/

公众号：儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区：
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf：
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85