浅谈URI中的任意文件下载

最新推荐文章于 2023-08-11 11:05:12 发布
最新推荐文章于 2023-08-11 11:05:12 发布
阅读量567 收藏
点赞数
分类专栏: web安全 文章标签: web安全
原文链接:https://www.freebuf.com/articles/web/255295.html
版权

文件下载是比较常见的业务。常见的接口格式为/download?fileName=xxx.png,整个过程若没过滤目录穿越符号…/或者未对下载的路径进行处理限制。当传入的filename参数为../../etc/passwd即可穿越路径达到任意文件下载的效果。
有些接口在尝试获取某一文件时,路径是/file/test.jpg,通过解析URI中的内容来得到对应的文件名test.jpg,然后完成相关的下载操作。此时如果尝试访问/file/../../test.jpg,相关的中间件或者开发框架在解析路由时会做相关的处理。那么此时是否可以进行目录穿越的实际利用呢?
以下是实际项目中遇到的URI中任意文件下载实例:

自定义Servlet

相关业务为用户上传文件的下载,主要通过Servlet进行交互,以下是相关的实现。

servlet的具体映射:

<servlet-mapping>
	  	<servlet-name>UserfilesDownloadServlet</servlet-name>
	  	<url-pattern>/userfiles/*</url-pattern>
</servlet-mapping>

下载业务具体实现如下:

public class UserfilesDownloadServlet extends HttpServlet {

private static final long serialVersionUID = 1L;
private Logger logger = LoggerFactory.getLogger(getClass());

public void fileOutputStream(HttpServletRequest req, HttpServletResponse resp) 
		throws ServletException, IOException {
	String filepath = req.getRequestURI();
	int index = filepath.indexOf(Global.USERFILES_BASE_URL);
	if(index &gt;= 0) {
		filepath = filepath.substring(index + Global.USERFILES_BASE_URL.length());
	}
	try {
		filepath = UriUtils.decode(filepath, "UTF-8");
	} catch (UnsupportedEncodingException e1) {
		logger.error(String.format("解释文件路径失败,URL地址为%s", filepath), e1);
	}
	File file = new File(Global.getUserfilesBaseDir() + Global.USERFILES_BASE_URL + filepath);
	try {
		FileCopyUtils.copy(new FileInputStream(file), resp.getOutputStream());
		resp.setHeader("Content-Type", "application/octet-stream");
		return;
	} catch (FileNotFoundException e) {
		req.setAttribute("exception", new FileNotFoundException("请求的文件不存在"));
		req.getRequestDispatcher("/WEB-INF/views/error/404.jsp").forward(req, resp);
	}
}


}

这里使用了springframework的FileCopyUtils.copy()方法,具体实现如下,主要是对File对象进行相应的处理,将读取的文件内容复制到response内容中:

public static int copy(File in, File out) throws IOException {

Assert.notNull(in, “No input File specified”);

Assert.notNull(out, “No output File specified”);

return copy((InputStream)(new BufferedInputStream(new FileInputStream(in))), (OutputStream)(new BufferedOutputStream(new FileOutputStream(out))));

}

最后通过设置response header返回文件内容,具体效果如下:


其中下载的文件名filepath是通过req.getRequestURI()来获取的,该方法是不会对URI中的…/或者;等特殊字符进行规范化处理的。同时在获取到对应的filepath后直接进行路径拼接然后进行文件读取,整个过程未限定下载的文件目录范围,也并未过滤…//等敏感关键字,存在任意文件下载风险。但是这里场景比较特殊,相关参数的获取是在URI中获取的,能否深入利用还有待商榷。

当前项目的upload目录位置如下:


这里尝试访问…/WEB-INF/web.xml(回到upload上级目录WebContent),成功完成目录穿越读取到对应的web.xml配置信息:


中间件在进行解析时,会对URI中的…/进行相关处理从而得到相关的servlet,tomcat解析时已经对…/进行处理了处理,上面的访问方式其实跟直接访问/userfiles/WEB-INF/web.xml是一样的:


若此时如果想读取/etc/passwd,就需要写入更多的目录穿越符…/,此时tomcat处理完…/后已经不在/userfiles/*这个servlet映射范围内了,那么此时会抛出相关的异常,并不能进一步获取更多的敏感信息。

尝试扩大漏洞的危害,读取更多的敏感文件。首先要让tomcat不处理…/…/

filepath = UriUtils.decode(filepath, “UTF-8”);

尝试进行编码请求,发现触发400 Invalid URI错误,因为tomcat会对URI路径信息进行解码并进行检测,当遇到斜杠的URL(即%2F)时,出于安全的考虑会返回400状态码:

else if (metaChar == ‘%’)

{

char res = (char)Integer.parseInt(str

.substring(strPos + 1, strPos + 3), 16);

if ((noSlash) && (res == ‘/’)) {

throw new IllegalArgumentException(sm.getString(“uDecoder.noSlash”));

}

dec.append(res);

strPos += 3;

}

}

return dec.toString();


在URL中有一个保留字符分号;,主要作为参数分隔符进行使用,有时候是请求中传递的参数太多了,所以使用分号;将参数对(key=value)连接起来作为一个请求参数进行传递。tomcat在对;进行处理时,同样的也会对;进行截断并当成参数处理,在URI编码的基础上加上;再次访问,经过一系列处理获取到的路径为/upload/;/…/…/…/…/…/…/…/…/etc/passwd,此时返回的是404状态码,应该是在进行文件读取的时候找不到名为;的目录,触发了FileNotFoundException异常:

try {

FileCopyUtils.copy(new FileInputStream(file), resp.getOutputStream());

resp.setHeader(“Content-Type”, “application/octet-stream”);

return;

} catch (FileNotFoundException e) {

req.setAttribute(“exception”, new FileNotFoundException(“请求的文件不存在”));

req.getRequestDispatcher("/WEB-INF/views/error/404.jsp").forward(req, resp);

}


刚好结合网站的其他业务可以进行目录创建,在upload下创建名为;的目录名,此时访问/userfiles/upload/;%2f…%2f…%2f…%2f…%2f…%2f…%2f…%2f…%2fetc%2fpasswd即可获取到相关的敏感文件:


@PathVariable注解

@PathVariable注解是spring3.0的一个新功能,可以接收请求路径中占位符的值并将URL中占位符参数{xxx} 绑定到控制器处理方法的入参中。该功能在SpringMVC向REST 、目标挺进发展过程中具有十分重要的意义。例如下面的例子:

  • 获取id = 1的订单信息
@RequestMapping("/Order/{id}")

public String getOrderDetails(@PathVariable(“id”) Integer id)

{

//…

}

除此之外,@PathVariable同样可以用于实现文件的下载,例如下面的例子:

@RequestMapping("/file/get/{filename:.+}")

public ResponseEntity<byte[]> download(HttpServletRequest request,

@PathVariable(value = “filename”) String fileName) throws IOException {

String uploadRoot = “/var/work/download”;

File file = new File(uploadRoot + URLDecoder.decode(File.separator + fileName, “UTF-8”));

byte[] body = null;

InputStream is = new FileInputStream(file);

body = new byte[is.available()];

is.read(body);

HttpHeaders headers = new HttpHeaders();

headers.add(“Content-Disposition”, “attchement;filename=” + file.getName());

HttpStatus statusCode = HttpStatus.OK;

ResponseEntity<byte[]> entity = new ResponseEntity<>(body, headers, statusCode);

return entity;

}

具体效果如下,例如这里尝试获取上传的test.png图片:


这里将URL中占位符参数filename跟初始路径/var/work/download进行拼接,然后下载对应的文件。这里对应的文件名用户可控,未限定下载的文件目录范围,同时并未过滤…//等敏感关键字,存在任意文件下载风险。

但是这里参数的位置在URI中,能否利用还需要进一步探究。

正常来说,直接使用…/…/…/尝试目录穿越即可下载/etc/passwd等敏感文件,实际上中间件在进行解析时,会对URI中的…/行相关处理从而得到相关的servlet,以tomcat为例,实际上解析时已经对…/进行处理了,占位符参数filename并不能获取到…/来进行目录穿越。这里因为处理后URI为/file/etc/passwd没找到对应的映射,所以返回了404状态码:


同样的,尝试对/进行URL编码,tomcat源码会对URI路径信息进行解码并进行检测,当遇到斜杠的URL(即%2F)时,出于安全的考虑会返回400状态码(抛出Invalid URI: noSlash异常):

tomcat源码中相关处理流程如下:

else if (metaChar == ‘%’)

{

char res = (char)Integer.parseInt(str

.substring(strPos + 1, strPos + 3), 16);

if ((noSlash) && (res == ‘/’)) {

throw new IllegalArgumentException(sm.getString(“uDecoder.noSlash”));

}

dec.append(res);

strPos += 3;

}

}

return dec.toString();


这里可以使用双重URL编码绕过中间件的处理,对/进行URL双重编码后返回404状态码,说明已经绕过noSlash异常了:


中间件后就是Spring的处理过程,查看Spring的解析过程,主要通过getPathWithinServletMapping方法获取路由:

public String getPathWithinServletMapping(HttpServletRequest request) {

String pathWithinApp = this.getPathWithinApplication(request);

String servletPath = this.getServletPath(request);

String sanitizedPathWithinApp = this.getSanitizedPath(pathWithinApp);

getPathWithinApplication方法中会使用 getRequestUri 来获取对应路由:

public String getRequestUri(HttpServletRequest request) {

String uri =

(String)request.getAttribute(“javax.servlet.include.request_uri”);

if (uri == null) {

uri = request.getRequestURI();

}

return this.decodeAndCleanUriString(request, uri);

}

随即在decodeAndCleanUriString对URI进行格式化处理,首先对分号进行处理,然后进行URI解码,最后进行返回:

private String decodeAndCleanUriString(HttpServletRequest request, String uri)

{

uri = this.removeSemicolonContent(uri);

uri = this.decodeRequestString(request, uri);

uri = this.getSanitizedPath(uri);

return uri;

}

也就是说,Spring本身会对URI进行一次解码处理。例如/file/get/…%252fetc/passwd经过tomcat+spring处理后会变成/file/get%2fetc/passwd

再回到案例代码,这里应该是考虑到了中文传输的问题,在前端用js对URL进行编码后再发送请求,这时候开发可能忽略了Spring自身的一次解码操作,在对应的接口再次进行了一次解码:

File file = new File(uploadRoot + URLDecoder.decode(File.separator + fileName, “UTF-8”));

那么也就是说使用双重URL编码的方式处理…/进行请求,即可在Spring以及接口自身的URLDecode获得漏洞利用需要的…/…/,从而成功进行目录穿越读取到/etc/passwd内容:


因为涉及到URI部分的解析,参与的有中间件、spring、人工的解码等一系列处理。那么如果在上面案例的基础上集成shiro框架。那相关的利用poc又是如何呢?
案例一的;可能需要编码成%3b。这里就有点CVE-2020-13933的味道了,但是高版本shiro对编码的;进行了处理,怎么继续利用还是值得思考的。


转载:https://www.freebuf.com/articles/web/255295.html
红云谈安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unity 资源热更新 uri下载
02-25
我上传的资源对于初学游戏者的帮助比较大的,其有单片机,ARM,数据结构,window编程,MFC编程,cocos2dx,unity3d自己编写的小游戏。此资源对应博客地址http://blog.csdn.net/luoyikun/article/details/79366412
Android逆向之旅---解析编译之后的AndroidManifest文件格式
weixin_30546933的博客
01-23 413
一、前言今天又是周六了,闲来无事,只能写文章了呀,今天我们继续来看逆向的相关知识,我们今天来介绍一下Android的AndroidManifest文件格式的内容,有的同学可能好奇了,AndroidManifest文件格式有啥好说的呢?不会是介绍那些标签和属性是怎么用的吧?那肯定不会,介绍那些知识有点无聊了,而且和我们的逆向也没关系,我们今天要介绍的是Android编译之后的AndroidM...
@PathVariable 路径传参使用到符号点,导致数据缺失问题
weixin_46822367的博客
09-23 370
问题描述: 问题如下,根据邮箱查询用户信息,结果使用路径传参接收出现了数据缺失!!! 传入的数据为 [email protected] ,接收到的数据却为 401141591@qq, 符号点之后的丢失 解决方案 1、使用@RequestParam代替@PathVariable 2、将使用到符号点的参数提前,不要放在URL的末端即可 ...
Android 通过原生下载DownloadManager实现url下载文件
最新发布
weixin_44128805的博客
08-11 1012
这种方式是调用了系统原生的下载DownloadManager 去传url去进行下载的。缺点就是如果遇到了 需要认证证书的网址,就比较麻烦。优点就是可以在原生apk 文件管理看到下载进度。需要在AndroidManifest.xml 添加权限。
@PathVariable注解参数带点号导致被截取的解决办法
qq_44688861的博客
03-03 436
项目场景: 今天再做博瑞网站下载的时候,使用PathVariable出现了问题。 问题描述: 提供下载的时候,访问地址是localhost:8080/download/A9.zip,但是拿到的fileName只有A9 @GetMapping("download/{fileName}") @ApiOperation("下载文件,需要传递") public ResponseEntity downLoadFile(@PathVariable("fileName") String fileN
实现链接(URI)下载功能
Masterheaven的博客
05-05 1038
目标: 实现从服务器下载apk,然后把链接转为二维码,可以扫二维码实现下载(链接转换二维码百度即可) 方法: 1、Tomcat url下载: 方法1、直接把xxx文件放在webapps/ROOT 目录下,然后在网址访问: http://ip地址:8080/xxx.zip 便可下载。 方法2、Server.xml最后一行修改:,之后输入http://ip地址:8080/xxx.zip 总结 tom...
配置CKFinder(Java版)
akde35246的博客
02-08 337
1. 下载 CKFinder官网下载地址提供了PHP,ASP,Java等不同下载版本。 2. 配置 1)config.xml放到WEB-INF下, 2)其他文件放到Webcontent下, 3)配置web.xml, xml <!--CKFinder --> <servlet> <servlet-nam...
nginx locationuri的截取的实现方法
09-29
主要介绍了nginx locationuri的截取的实现方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
AndroidUri和Path之间的转换的示例代码
01-05
AndroidUri和Path之间的转换 原因 调用系统拍照应用,拍照后要保存图片,那么我们需要指定一个存储图片路径Uri。这就涉及到如何将file path转换为Uri。有时候我们还需要根据照片的路径得到照片的media Uri,那么...
AndroidBitmap、File与Uri之间的简单记录
01-05
1、将一个文件路径path转换成File String path ; File file = new File(path) 2、讲一个Uri转换成一个path 以选择一张图片为例: String path = FileTools.getRealPathFromUri(content,uri); //自定义...
Uri一个URI处理库
08-08
Uri - 一个URI处理库
URI, HTTP 与 HTML安全问题
09-17
介绍URI, HTTP 与 HTML的基本组成,以及各个组成部分存在的各种安全问题,最后介绍了脚本的利用 function handleResponse() { alert('this function is called from server.html') } make RPC call
URI和URL区别 .
09-10
URI和URL区别 .
URI (Java Platform SE 8 )
12-31
Java 8 documentation for class URI, a good reference for recapping the concepts and use cases of URI/URL/URN.
浅谈关于Android WebView上传文件的解决方案
01-20
3.在onActivityResult得到用户选择的文件的Uri 4.然后把Uri传递给Html5 这样就完成了一次H5选择文件的过程,下面我把代码贴出来自习看一下 首先,WebView必须要支持JS交互,所以要打开JS交互 mWebView....
Bitbake
Archer1991的博客
03-16 9722
以下所有内容来自bitbake user manual: http://www.yoctoproject.org/docs/2.2/bitbake-user-manual/bitbake-user-manual.html .Bitbake介绍从根本上说,BitBake是一个通用的任务执行引擎,BitBake允许shell和Python任务在复杂的任务间依赖关系的约束条件下有效地并行运行。 Bit
2常见任务
Jarvis的博客
08-23 768
2常见任务 目录 2常见任务 2.1准备构建主机以在内核上工作 2.1.1准备开发使用devtool 2.1.2为传统内核开发做好准备 2.2创建和准备图层 2.3修改现有配方 2.3.1创建追加文件 2.3.2应用补丁 2.3.3更改配置 2.3.4使用“树内”defconfig文件 2.4使用devtool到内核打补丁 2.5使用传统内核开发打补丁内核 2.6配置内核 2.6.1使用menuconfig 2.6.2创建defconfig文件 2.6.3创...
yocto(三)——yocto任务与语法
zz2633105的博客
01-06 9553
任务 空任务 ​ 如果不想使用某个任务可以在配方文件将任务定义为空,比如将do_install任务定义为空: do_install() { } 禁用任务 ​ 如果不想使用某个任务且也不想在配方文件将任务定义为空,则可以使用下面的语句,比如将禁用do_install任务: do_install[noexec] = "1" ​ 如果想确保一个任务一定执行(某个任务可能在bb配方设置了noexec标志),那可以在bbappend追加配方加入以下: unset do_install[noexec] 删除任
linux gcc sys/lockname.h 文件不存在,'致命的错误:linux /编译器-gcc5.h:没有这样的文件或目录'在bitbake...
weixin_42210638的博客
05-14 471
我试图运行一个非yocto自定义源的配方bitbake。使用linux-yocto源码可以正常工作,但是当我尝试使用由yocto项目文件提供的linux-yocto-custom skeleton文件时,我遇到了问题。'致命的错误:linux /编译器-gcc5.h:没有这样的文件或目录'在bitbake我的文件结构看起来有点像这样:meta-test|...+--recipes-kernel/|...
java new URI 本地文件
06-13
在Java,可以使用`java.net.URI`类来表示统一资源标识符(URI),包括本地文件。要创建一个指向本地文件的URI对象,可以使用以下代码: ```java URI uri = new File("path/to/file").toURI(); ``` 其,"path/...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值