• Java审计之文件操作漏洞


    Java审计之文件操作漏洞篇

    0x00 前言

    本篇内容打算把Java审计中会遇到的一些文件操作的漏洞,都给叙述一遍。比如一些任意文件上传,文件下载,文件读取,文件删除,这些操作文件的漏洞。

    0x01 文件上传漏洞

    RandomAccessFile类上传文件案例:

    package com.test;
    import java.io.File;
    import java.io.FileOutputStream;
    import java.io.IOException;
    import java.io.InputStream;
    import java.io.RandomAccessFile;
    import javax.servlet.ServletException;
    import javax.servlet.annotation.WebServlet;
    import javax.servlet.http.HttpServlet;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    @WebServlet("/FileUploadServlet")
    public class domain extends HttpServlet {
        private static final long serialVersionUID = 1L;
        public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            InputStream inputStream = request.getInputStream();
            String realPath = request.getServletContext().getRealPath("/upload");
    
            System.out.println(realPath);
            File tempFile = new File(realPath,"temp.tmp");
            if (!tempFile.exists()){
                tempFile.createNewFile();
            }
            FileOutputStream fos = new FileOutputStream(tempFile);
            byte[] buffer = new byte[1024];
            int len = 0;
            while(-1 != (len = inputStream.read(buffer))){
                fos.write(buffer, 0, len);
            }
            RandomAccessFile randomFile = new RandomAccessFile(tempFile, "r");
            randomFile.readLine();
            String contentDisposition = randomFile.readLine();
            String filename = contentDisposition.substring(contentDisposition.indexOf("filename=""), contentDisposition.lastIndexOf("""));
            filename = filename.replace("filename="", "");
    // 防止中文乱码
            filename = new String(filename.getBytes("ISO-8859-1"),"UTF-8");
            System.out.println(filename);
            randomFile.seek(0);
            long start = 0;
            int forth = 1;
            while(-1 != (len = randomFile.readByte()) && (forth<=4)){
                if(len == '
    '){
                    start = randomFile.getFilePointer();
                    forth++;
                }
            }
            fos.close();
            inputStream.close();
            File saveFile = new File(realPath,filename);
            RandomAccessFile randomAccessFile = new RandomAccessFile(saveFile, "rw");
            randomFile.seek(randomFile.length());
            long endPosition = randomFile.getFilePointer();
            int j = 1;
            while((endPosition >= 0) && j <= 2){
                endPosition --;
                randomFile.seek(endPosition);
                if(randomFile.readByte() =='
    '){
                    j++;
                }
            }
            randomFile.seek(start);
            long startPoint = randomFile.getFilePointer();
            while(startPoint < endPosition-1){
                randomAccessFile.write(randomFile.readByte());
                startPoint = randomFile.getFilePointer();
            }
            randomAccessFile.close();
            randomFile.close();
            tempFile.delete();
            System.out.println("文件上传成功");
        }
    }
    

    这里并没有校验任何的文件类型,进行了上传。

    commons-fileupload类上传案例:

    package com.test;
    import org.apache.commons.fileupload.FileItem;
    import org.apache.commons.fileupload.FileUploadException;
    import org.apache.commons.fileupload.disk.DiskFileItemFactory;
    import org.apache.commons.fileupload.servlet.ServletFileUpload;
    
    import java.io.File;
    import java.io.FileOutputStream;
    import java.io.IOException;
    import java.io.InputStream;
    import java.io.RandomAccessFile;
    import java.util.List;
    import javax.servlet.ServletException;
    import javax.servlet.annotation.WebServlet;
    import javax.servlet.http.HttpServlet;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    @WebServlet("/FileUploadServlet")
    
    
    public class domain extends HttpServlet{
    
        @Override
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            //得到上传文件的保存目录,将上传的文件存放于WEB-INF目录下,不允许外界直接访问,保证上传文件的安全
            String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");
            File file = new File(savePath);
            if(!file.exists()&&!file.isDirectory()){
                System.out.println("目录或文件不存在!");
                file.mkdir();
            }
            //消息提示
            String message = "";
            try {
                //使用Apache文件上传组件处理文件上传步骤:
                //1、创建一个DiskFileItemFactory工厂
                DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();
                //2、创建一个文件上传解析器
                ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);
                //解决上传文件名的中文乱码
                fileUpload.setHeaderEncoding("UTF-8");
                //3、判断提交上来的数据是否是上传表单的数据
                if(!fileUpload.isMultipartContent(request)){
                    //按照传统方式获取数据
                    return;
                }
                //4、使用ServletFileUpload解析器解析上传数据,解析结果返回的是一个List<FileItem>集合,每一个FileItem对应一个Form表单的输入项
                List<FileItem> list = fileUpload.parseRequest(request);
                for (FileItem item : list) {
                    //如果fileitem中封装的是普通输入项的数据
                    if(item.isFormField()){
                        String name = item.getFieldName();
                        //解决普通输入项的数据的中文乱码问题
                        String value = item.getString("UTF-8");
                        String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");
                        System.out.println(name+"  "+value);
                        System.out.println(name+"  "+value1);
                    }else{
                        //如果fileitem中封装的是上传文件,得到上传的文件名称,
                        String fileName = item.getName();
                        System.out.println(fileName);
                        if(fileName==null||fileName.trim().equals("")){
                            continue;
                        }
                        //注意:不同的浏览器提交的文件名是不一样的,有些浏览器提交上来的文件名是带有路径的,如:  c:a1.txt,而有些只是单纯的文件名,如:1.txt
                        //处理获取到的上传文件的文件名的路径部分,只保留文件名部分
                        fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);
                        //获取item中的上传文件的输入流
                        InputStream is = item.getInputStream();
                        //创建一个文件输出流
                        FileOutputStream fos = new FileOutputStream(savePath+File.separator+fileName);
                        //创建一个缓冲区
                        byte buffer[] = new byte[1024];
                        //判断输入流中的数据是否已经读完的标识
                        int length = 0;
                        //循环将输入流读入到缓冲区当中,(len=in.read(buffer))>0就表示in里面还有数据
                        while((length = is.read(buffer))>0){
                            //使用FileOutputStream输出流将缓冲区的数据写入到指定的目录(savePath + "\" + filename)当中
                            fos.write(buffer, 0, length);
                        }
                        //关闭输入流
                        is.close();
                        //关闭输出流
                        fos.close();
                        //删除处理文件上传时生成的临时文件
                        item.delete();
                        message = "文件上传成功";
                    }
                }
            } catch (FileUploadException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
                message = "文件上传失败";
            }
            request.setAttribute("message",message);
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        }
    
        @Override
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            this.doGet(request, response);
        }
    
    }
    

    这里判断了文件是否为空,但是没有判断文件的类型。

    public class UploadHandleServlet1 extends HttpServlet{
    
        @Override
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            //得到上传文件的保存目录,将上传的文件存放于WEB-INF目录下,不允许外界直接访问,保证上传文件的安全
            String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");
            //上传时生成的临时文件保存目录
            String tempPath = this.getServletContext().getRealPath("/WEB-INF/temp");
            File file = new File(tempPath);
            if(!file.exists()&&!file.isDirectory()){
                System.out.println("目录或文件不存在!");
                file.mkdir();
            }
            //消息提示
            String message = "";
            try {
                //使用Apache文件上传组件处理文件上传步骤:
                //1、创建一个DiskFileItemFactory工厂
                DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();
                //设置工厂的缓冲区的大小,当上传的文件大小超过缓冲区的大小时,就会生成一个临时文件存放到指定的临时目录当中。
                diskFileItemFactory.setSizeThreshold(1024*100);
                //设置上传时生成的临时文件的保存目录
                diskFileItemFactory.setRepository(file);
                //2、创建一个文件上传解析器
                ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);
                //解决上传文件名的中文乱码
                fileUpload.setHeaderEncoding("UTF-8");
                //监听文件上传进度
                fileUpload.setProgressListener(new ProgressListener(){
                    public void update(long pBytesRead, long pContentLength, int arg2) {
                        System.out.println("文件大小为:" + pContentLength + ",当前已处理:" + pBytesRead);
                    }
                });
                //3、判断提交上来的数据是否是上传表单的数据
                if(!fileUpload.isMultipartContent(request)){
                    //按照传统方式获取数据
                    return;
                }
                //设置上传单个文件的大小的最大值,目前是设置为1024*1024字节,也就是1MB
                fileUpload.setFileSizeMax(1024*1024);
                //设置上传文件总量的最大值,最大值=同时上传的多个文件的大小的最大值的和,目前设置为10MB
                fileUpload.setSizeMax(1024*1024*10);
                //4、使用ServletFileUpload解析器解析上传数据,解析结果返回的是一个List<FileItem>集合,每一个FileItem对应一个Form表单的输入项
                List<FileItem> list = fileUpload.parseRequest(request);
                for (FileItem item : list) {
                    //如果fileitem中封装的是普通输入项的数据
                    if(item.isFormField()){
                        String name = item.getFieldName();
                        //解决普通输入项的数据的中文乱码问题
                        String value = item.getString("UTF-8");
                        String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");
                        System.out.println(name+"  "+value);
                        System.out.println(name+"  "+value1);
                    }else{
                        //如果fileitem中封装的是上传文件,得到上传的文件名称,
                        String fileName = item.getName();
                        System.out.println(fileName);
                        if(fileName==null||fileName.trim().equals("")){
                            continue;
                        }
                        //注意:不同的浏览器提交的文件名是不一样的,有些浏览器提交上来的文件名是带有路径的,如:  c:a1.txt,而有些只是单纯的文件名,如:1.txt
                        //处理获取到的上传文件的文件名的路径部分,只保留文件名部分
                        fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);
                        //得到上传文件的扩展名
                        String fileExtName = fileName.substring(fileName.lastIndexOf(".")+1);
                        if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName)){
                            request.setAttribute("message", "上传文件的类型不符合!!!");
                            request.getRequestDispatcher("/message.jsp").forward(request, response);
                            return;
                        }
                        //如果需要限制上传的文件类型,那么可以通过文件的扩展名来判断上传的文件类型是否合法
                        System.out.println("上传文件的扩展名为:"+fileExtName);
                        //获取item中的上传文件的输入流
                        InputStream is = item.getInputStream();
                        //得到文件保存的名称
                        fileName = mkFileName(fileName);
                        //得到文件保存的路径
                        String savePathStr = mkFilePath(savePath, fileName);
                        System.out.println("保存路径为:"+savePathStr);
                        //创建一个文件输出流
                        FileOutputStream fos = new FileOutputStream(savePathStr+File.separator+fileName);
                        //创建一个缓冲区
                        byte buffer[] = new byte[1024];
                        //判断输入流中的数据是否已经读完的标识
                        int length = 0;
                        //循环将输入流读入到缓冲区当中,(len=in.read(buffer))>0就表示in里面还有数据
                        while((length = is.read(buffer))>0){
                            //使用FileOutputStream输出流将缓冲区的数据写入到指定的目录(savePath + "\" + filename)当中
                            fos.write(buffer, 0, length);
                        }
                        //关闭输入流
                        is.close();
                        //关闭输出流
                        fos.close();
                        //删除处理文件上传时生成的临时文件
                        item.delete();
                        message = "文件上传成功";
                    }
                }
            } catch (FileUploadBase.FileSizeLimitExceededException e) {
                e.printStackTrace();
                request.setAttribute("message", "单个文件超出最大值!!!");
                request.getRequestDispatcher("/message.jsp").forward(request, response);
                return;
            }catch (FileUploadBase.SizeLimitExceededException e) {
                e.printStackTrace();
                request.setAttribute("message", "上传文件的总的大小超出限制的最大值!!!");
                request.getRequestDispatcher("/message.jsp").forward(request, response);
                return;
            }catch (FileUploadException e) {
                // TODO Auto-generated catch block
                e.printStackTrace();
                message = "文件上传失败";
            }
            request.setAttribute("message",message);
            request.getRequestDispatcher("/message.jsp").forward(request, response);
        }
    
        @Override
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            doGet(request, response);
        }
        //生成上传文件的文件名,文件名以:uuid+"_"+文件的原始名称
        public String mkFileName(String fileName){
            return UUID.randomUUID().toString()+"_"+fileName;
        }
        public String mkFilePath(String savePath,String fileName){
            //得到文件名的hashCode的值,得到的就是filename这个字符串对象在内存中的地址
            int hashcode = fileName.hashCode();
            int dir1 = hashcode&0xf;
            int dir2 = (hashcode&0xf0)>>4;
            //构造新的保存目录
            String dir = savePath + "\" + dir1 + "\" + dir2;
            //File既可以代表文件也可以代表目录
            File file = new File(dir);
            if(!file.exists()){
                file.mkdirs();
            }
            return dir;
        }
    }
    

    这段代码和上面不同的是添加多了一个黑名单,多了一个判断条件, if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName),但是这样的黑名单还是能过去绕过的。

    主要的审计要是看上传地方是不是黑名单,如果是黑名单,该怎么去绕过。如果是白名单,在jdk低版本中也可以使用%00截断。

    验证Mime类型文件上传案例

    public class mimetype {
        public static String main(String fileUrl) throws IOException {
            String type = null;
            
    
            URL u = new URL(fileUrl);
    
            URLConnection uc = u.openConnection();
            type = uc.getContentType();
            return type;
        }
    }
    

    0x01 任意文件读取

    任意文件读取漏洞其实比较简单,基本上就2种方法,一个是字节输入流InputStream,一个是FileReader字符输入流。

    InputStream:

    @WebServlet("/readServlet")
    public class readServlet extends HttpServlet {
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            String filename = request.getParameter("filename");
            File file = new File(filename);
            OutputStream outputStream = null;
            InputStream inputStream = new FileInputStream(file);
            
            int len;
            byte[] bytes = new byte[1024];
            while(-1 != (len = inputStream.read())) {
                outputStream.write(bytes,0,len);
            }
    }}
    

    FileReader:

    @WebServlet("/downServlet")
    public class readServlet extends HttpServlet {
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            String filename = request.getParameter("filename");
            String fileContent = "";
            FileReader fileReader = new FileReader(filename);
            
            BufferedReader bufferedReader = new BufferedReader(fileReader);
            String line = "";
            while (null != (line = bufferedReader.readLine())) {
                fileContent += (line + "
    ");
            }
            }
    }
    

    这两种方法除了读写方式不一样外,其余的都是一样的。

    0x02 任意文件下载

    在前面的ssrf中其实提到了这个文件读取和下载,但是ssrf中是进行了远程请求的时候获取的输入流,然后进行输出。而在任意文件读取或下载中,是直接去使用io流进行读写,显示出来给我们。

    @WebServlet("/downServlet")
    public class readServlet extends HttpServlet {
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            
            String filename = request.getParameter("filename");
            String fileContent = "";
            FileReader fileReader = new FileReader(filename);
            response.setHeader("content-disposition", "attachment;fileName=" + filename);
            BufferedReader bufferedReader = new BufferedReader(fileReader);
            String line = "";
            while (null != (line = bufferedReader.readLine())) {
                fileContent += (line + "
    ");
            }
            }
    }
    

    和前面的文件读取也差不多,只是多了设置了一个响应体。

    0x03 任意文件删除

    @WebServlet("/downServlet")
    public class readServlet extends HttpServlet {
        protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
        }
    
        protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    
            String filename = request.getParameter("filename");
            File file = new File(filename);
            PrintWriter writer = response.getWriter();
            if(file != null && file.exists() && file.delete()) {
                writer.println("删除成功");
            } else {
                writer.println("删除失败");
            }
    }
    }
    

    参考文章

    https://www.cnblogs.com/lcngu/p/5471610.html
    https://xz.aliyun.com/t/6986
    

    0x04 结尾

    本文的一些代码其实比较简单,但是如果实际中还是需要注意一些可能产生漏洞的点。

    WX:TG9yaTI1NDgyNjYxNDU= 欢迎各位师傅来一起做技术交流
  • 相关阅读:
    通过唯一ID实现简单的日志跟踪实现
    从零单排入门机器学习:Octave/matlab的经常使用知识之矩阵和向量
    zoj 1671 Walking Ant
    JDBC基础
    Android从源码看ListView的重用机制
    JavaScript设计模式 Item9 --适配器模式Adapter
    C++11新特性之 std::forward(完美转发)
    [组合数]求组合数的几种方法总结
    HDU 4005 The war(双连通好题)
    Workspace in use or cannot be created, choose a different one.--错误解决的方法
  • 原文地址:https://www.cnblogs.com/nice0e3/p/13698256.html
Copyright © 2020-2023  润新知