代码审计 | 不安全的路径检查

最新推荐文章于 2024-05-28 16:54:10 发布
最新推荐文章于 2024-05-28 16:54:10 发布
阅读量112 收藏 1
点赞数
分类专栏: 代码审计和安全渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/INSBUG/article/details/133125753
版权

1. 示例代码

搭建环境:PHP(8.1.19)+Nginx(1.24.0)

<?php  
define('UPLOAD_FOLDER',  
  sys_get_temp_dir().DIRECTORY_SEPARATOR.'uploads'.DIRECTORY_SEPARATOR);  
 
function validateFilePath($fpath) {  
  if (str_contains($fpath, '..' . DIRECTORY_SEPARATOR)) {  
      http_response_code(403);  
      die('invalid path!');  
  }  
}  
 
function uploadFile($src, $dest) {  
  $path = dirname($dest);  
  if (!file_exists($path)) {  
mkdir($path, 0755, true);
  }  
  if (move_uploaded_file($src, $dest)){
echo "上传成功";
  } else {
echo "上传失败";
  }  
}  
 
function normalizeFilePath($fpath) {  
  if (strpos($_SERVER['HTTP_USER_AGENT'], 'Windows')) {  
      return str_replace('\\', '/', $fpath);  
  }  
  return $fpath;  
}  

 

2. 漏洞位置

if (str_contains($fpath, '..'.DIRECTORY_SEPARATOR))
if (strpos($_SERVER['HTTP_USER_AGENT'], 'Windows')) {
  return str_replace('\\', '/', $fpath);

3. 漏洞原理

示例代码存在不安全的文件路径处理,导致攻击者可以上传恶意文件到服务器指定目录。

当该代码部署在Linux服务器上时,代码中使用的validateFilePath函数检测上传的文件路径是否包含“../”,后续调用normalizeFilePath函数判断请求的User-Agent,如果是“windows”,则尝试规范化文件路径将反斜杠‘\’转换为斜杠‘/’,攻击者可以结合以上不安全的检查方式,构造特殊文件名和伪造用户代理字符串,如利用“..\”绕过检查,上传恶意文件到指定目录下。

假设web根路径为

“/home/wwwroot/default/”,攻击者可以上传如下文件,进行绕过:

"..\..\..\home\wwwroot\default\shell.php"

4. 漏洞复现

访问web页面,上传文件,burpsuite抓取请求包

更改filename="..\..\..\home\wwwroot\default\phpinfo.php"

利用"..\"来绕过validateFilePath函数的路径遍历检查

图片

伪造User-Agent请求头,利用normalizeFilePath函数将“\”变为“/”,

则实际传递的filename=“../../../home/wwwroot/default/phpinfo.php”

图片

文件上传成功,并保存在”/home/wwwroot/default/phpinfo.php”

输入http://192.168.230.128/phpinfo.php可以访问该页面:

图片

5. 修复方案

1.改进文件路径验证:确保对上传的文件路径进行全面且严格的验证,不要仅仅依赖于字符串包含检查来验证文件路径。而是使用更强大的路径验证方法,如使用 realpath 函数或正则表达式来检查和规范化文件路径。

2.不依赖用户代理字符串:不要根据用户代理字符串来决定文件路径的分隔符,而是根据实际的文件系统来处理文件路径。不要假定客户端的操作系统,而是在服务器上进行文件路径的安全处。

3.限制上传目录:确保文件上传仅允许上传到安全目录,不要允许上传到 Web 根目录或其他重要目录。使用白名单控制来限制上传目录。

4.文件名安全处理:对上传的文件名进行安全处理,例如删除特殊字符、编码或过滤危险字符。不允许文件名包含路径分隔符或相对路径。

相关知识

str_contains()函数

str_contains() 函数是 PHP 8.0 版本引入的一个内置函数,用于检查一个字符串中是否包含另一个字符串并返回一个布尔值来指示是否存在,若存在返回true,不存在则返回false。它的作用类似于 strpos() 函数,但更简单直观。其基本语法如下:

$haystack:要搜索的字符串,即要在其中查找是否包含$needle。

$needle:要查找的子字符串,即要在 $haystack 中检查是否存在。

它不需要额外的索引或位置查找,在处理字符串包含性检查时更简洁和易读,特别是在需要检查多个字符串的情况下。尽管 str_contains() 函数提供了方便的字符串包含性检查,但在某些情况下可能导致漏洞或不安全的行为,例如路径遍历攻击、特殊字符绕过等。为了防止这些潜在的漏洞,建议在安全关键的场景中谨慎使用 str_contains(),并结合其他安全性措施,如路径规范化、输入验证、字符编码处理和权限控制,来确保应用程序的安全性。

作者:balabalaba

2023年9月22日晚

洞源实验室

洞源实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计之代码执行漏洞
willow_liang的博客
11-10 416
目录 代码执行漏洞 1.代码执行函数 ​2.文件 2.包含代码注入 3.正则表达式代码注入 4.动态代码执行 5.其他 PHP函数处理: https://www.php.net/manual/zh/book.funchand.php 代码执行漏洞利用 代码执行漏洞的防御 代码执行漏洞 应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞。 PHP:eval assert Python: ex...
代码审计 企业级Web代码安全架构
01-21
第4~6章则介绍常见漏洞的审计方法,分别对应基础篇、进阶篇以及深入篇,涵盖SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞;第7章介绍二次漏洞的挖掘方法;第8章介绍...
代码审计漏洞总结
明哥哥知识分享
09-11 1258
1、审计方法总结 主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞。 以下是基于关键词审计技巧总结: 在搜索时要注意是否为整个单词,以及小写敏感这些设置 XSS getParamter、<%=、para
代码审计之漏洞挖掘与防范(基础篇)
Blood_Pupil的博客
10-02 880
文章目录SQL注入漏洞类型普通注入编码注入宽字节注入二次urldecode注入漏洞防范GPC魔术引号过滤函数和类PDO预编译 SQL注入 漏洞类型 普通注入 普通注入值得是最容易利用的注入方式,比如union注入,盲注(基于时间盲注和基于Boolean的忙住),基于报错的注入等。 //union注入 &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;?php $uid = $_GET['id']; $sql = &amp;amp;
代码审计--最常见的漏洞审计篇
yggcwhat
12-13 720
代码审计--最常见的漏洞审计篇前言 以下内容仅供技术研究学习使用!严禁用于非法操作!正文xss漏洞 看到这里有个公司名称,看看有没有xss,放入审计工具看一下 很明显是第二个(因为我是在安装路径里面) 可以看到这里面他申请了一个数组,应为是下标为公司名称的在看看前面的$lang->install,按经验来看这应是是一个实例化的类,按照正常思路我们往前面翻一番看看有什么 他这里果然是一个实例化的类,去找一找这个类,找了半天没找到,感觉很奇怪,我就直接找这个 ...
代码执行漏洞(代码审计的思路)
划水的小白白
03-27 754
零、 开局上表演 一、代码执行漏洞原理 1.1 定义 1.2例如 1.3 RCE的概念 1.4 本篇文章预计收获 二、造成代码执行函数解析 2.1 eval($a)函数 2.2 assert($a)函数 2.3 利用assert写木马 2.4 preg_replace函数 2.5 create_function匿名函数 2.6 array_map函数(回调函数) 2.7 特殊组合(双引号二次解析) 三、实战 3.0 靠技术手段达到重装别人网站的效果 3.1 靶场模拟 3.2 靶场总结: 3.3一些补充
代码审计与Web安全实验合集
06-16
代码审计与Web安全实验,适用于大学生期末大作业,期末复习,实验模板
安全检查及审计制度.docx
01-06
安全检查及审计制度.docx
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构-247页。全方位介绍代码审计,从审计环境到审计思路、工具的使用以及功能的安全设计原则,涵盖大量的工具和方法。
XX系统源代码安全审计报告(模板).doc
10-27
XX系统源代码安全审计报告(模板)
告别获取不安全的相对路径-取当前类的Classpath
geshenyisunjie的博客
10-20 117
这是一个古老的话题了,我曾经写过一篇文章讨论这个话题 http://blog.csdn.net/sunyujia/archive/2008/01/05/2027087.aspx 取得相对路径的方法有很多,但是安全的方法并不多,我什么这么说呢? 我先说下一些流行方法的不安全性 转载请注明出处http://blog.csdn.net/sunyujia/ 1.new Fi...
PHP代码审计(初探)——代码审计漏洞挖掘的思路
OldBowl
05-10 393
一、动态函数执行与匿名函数执行概念 1、动态函数执行 函数与函数之间的调用,可能会造成的漏洞 2、匿名函数执行 匿名函数也叫闭包函数(closures),允许临时创建一个没有指定名称的函数。最经常用作回调函数参数的值。闭包函数也可以作为变量的值来使用。PHP会自动把这种表达式转换为内置类Closure的对象实例。把一个closure对象赋值给一个变量的方式与普通变量赋值的语法是一样的,最后...
代码审计的一些常用有漏洞函数总结
wcwdnmdnmd的博客
06-01 497
代码审计的一些常用有漏洞的函数strcmp()in_array()php伪协议MD5比较漏洞ereg函数漏洞:%00截断preg_match字符串比较 最近做了一些题,利用到了一些函数,方法。因此总结一下。 strcmp() strcmp(str1,str2) if (str1>str2) return 正数 if (str1<str2) return 负数 if (str1=str2) return 0 in_array() php伪协议 file://协议 条件: allow_
告别获取不安全的相对路径-取当前类的Classpath(转)
guoguoyang2008的专栏
09-15 128
特此申明:本文属于转载,感谢原作者的辛勤付出!(作者博客:http://blog.csdn.net/sunyujia)       1.new File(./xx.txt);或者是new File(xx.txt); 这种方法实际上是和window操作系统有关系的,对批处理和Win32编程有研究的朋友知道,运行一个程序要让操作系统知道两点,1是文件存放的所在位置,2是文件的起始位置,这个起...
【web漏洞百例】2.路径操纵、密码硬编码
程序猿之洞
03-27 10000
一、路径操纵 描述: 通过用户输入控制file System操作所用的路径,借此攻击者可以访问或修改其他受保护的系统资源。 举例: 当满足以下两个条件时,就会产生“路径操纵”错误: 1.攻击者能够指定某一file system操作中所使用的路径。 2.攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。 例如,在某一程序中,攻击者可以获得指定的权限
简单3步,ERP、OA、CRM等客户端,安全远程访问服务端
oray2013的专栏
05-22 280
然而,如何确保在不同地点的员工都能安全、便捷地访问公司内网的C/S(Client/Server)架构办公系统,是一个亟待解决的问题。采用贝锐花生壳内网穿透服务,可以简化这些步骤,使得远程访问变得异常简单。无需公网IP,无需繁琐的路由和网关配置,简单三步,即可实现远程访问。目前,除了上述举例的ERP系统,市面上主流C/S(Client/Server)架构办公系统均可搭配贝锐花生壳实现远程访问。传统的远程访问解决方案往往需要复杂的网络配置,包括公网IP的申请、路由和网关的设置等。
汽车制造业安全有效的设计图纸文件外发系统是什么样的?
镭速的博客
05-28 410
在汽车制造的设计图发送过程中,安全和效率是公司最关心的两个点。镭速凭借它的高效稳定的传送性能、强大的安全特性、灵活的权限控制和全方位的服务,给企业提供了一个既安全又可靠、既高效又高效的设计图发送解决方案。随着公司对数据安全和工作效率的要求越来越高,镭速肯定会成为汽车制造公司设计图发送的首选。
F5发布2024年5月季度安全通告
2401_84434570的博客
05-22 1281
F5 BIG-IP Next Central Manager OData注入漏洞。F5 BIG-IP Next Central Manager SQL注入漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP Next Central Manager中间人攻击漏洞。F5 BIG-IP APM浏览器网络访问VPN客户端来源验证错误漏洞。F5 BIG-IP Next CNF信息泄露漏洞。F5 BIG-IP配置实用程序跨站脚本漏洞。
电脑记事软件哪款安全?好用且安全的桌面记事工具
最新发布
2401_83063993的博客
05-28 211
它采用了HTTPS、SASL、Secret Key等多重安全认证,确保我的数据在传输和存储过程中都得到了严格的保护。它允许我将重要的内容独立显示在软件之外,这样我就不用再软件中翻找,从而快速查看关键信息。然而,在享受电脑记事便捷性的同时,我也曾担忧过数据的安全性。毕竟,这些记录中包含了大量的工作信息和私人想法,一旦泄露,后果不堪设想。更重要的是,敬业签支持记录多种类型的内容,包括文字、图片、视频和文件,这极大地丰富了我的记事方式。总之,敬业签不仅提供了便捷、多样的记事功能,还在数据安全方面做得非常出色。
vaudit代码审计
03-30
Vaudit的工作原理是通过对源代码进行扫描和分析,检查代码中的安全漏洞和不安全的编码实践。它可以检测常见的安全问题,如跨站脚本攻击(XSS)、SQL注入、命令注入、路径遍历等。Vaudit还提供了一些自定义规则,可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值