clean后class文件全部丢失_原创 | 记一次任意文件下载绕过过程

最新推荐文章于 2024-05-23 08:00:00 发布
最新推荐文章于 2024-05-23 08:00:00 发布
阅读量149 收藏
点赞数
文章标签: clean后class文件全部丢失
8e10f258e5247fd3da28fb6b4bc418e2.gif点击上方“蓝字”关注我们吧! b05f4a470183417dcd8ce1d2b4a7f6a7.gif 挖掘过程 一般来说,在文件下载/查看功能处,当文件名参数可控,且系统未对参数进行过滤或者过滤不全时,就可以实现下载服务器上的任何文件,产生任意文件下载漏洞。
一般可以通过相关的业务关键字(例如download、filename等)或者相关的操作类(例如InputStream、File等)快速定位相关的模块进行审计挖掘。
前段时间审计某项目时发现一处任意文件下载的绕过。系统基于Springboot进行开发,首先是发现任意文件下载接口: 
@Value("${CERTIFICATE.PATH}")private String uploadPath;@GetMapping("/downloadFile.do")public void uploadFileDownload(HttpServletResponse response,String fileName) throws IOException {  ServletOutputStream outputStream =response.getOutputStream();  String contentType ="application/octet-stream";  response.setContentType(contentType);  String filePath = uploadPath+fileName;  System.out.println(filePath);  outputStream.write(FileUtils.readFileToByteArray(filePath));  outputStream.flush();  outputStream.close();}
相关的接口是下载用户上传的凭证材料的,整个下载过程从配置文件中获取uploadPath,然后与用户输入的fileName进行拼接,最后调用工具类FileUtils的readFileToByteArray()方法进行下载。
查看工具类readFileToByteArray()方法的具体实现: 
public static byte[] readFileToByteArray(String path) {  StringBuffer buf = new StringBuffer();  try {    File file = new File(path);    BufferedReader br = new BufferedReader(new InputStreamReader(new FileInputStream(file), "utf-8"));    String row;    while ((row = br.readLine()) != null) {      buf.append(row);    }  } catch (IOException e) {    e.printStackTrace();  }  if (buf.length() == 0) {    buf.append("");  }  return buf.toString().getBytes();}

可以看到相关的工具类方法直接将传入的地址进行文件内容读取,封装后进行返回,整个文件下载的过程是没有过滤掉"./"、"…/"、"/"等特殊字符,防止用户进行目录回溯的,同时也没有限制下载目录。初步判断是存在任意文件下载风险的。

这里尝试去测试环境访问对应的下载接口进行复现,发现失败了:

b17909967c0a19437f46f0c3bfcce746.png

回去查看源代码,发现有一个安全过滤器SecurityFilter,里面针对相关的敏感字符进行了过滤处理。上述任意文件下载接口无法利用很大原因是过滤器Filter的防护导致的,下面来看看能不能绕过过滤器进行利用。 b05f4a470183417dcd8ce1d2b4a7f6a7.gif 绕过分析
一般来说审计过滤器缺陷主要分以下几个点:

  • 获取数据的方式是否覆盖全面

  • 过滤的规则内容

  • 过滤器的顺序

首先是定位过滤器了,这里是通过注解的方式进行过滤器注册的: 
@WebFilter(filterName = "SecurityFilter", urlPatterns = "/*" )public class SecurityFilter implements Filter {  FilterConfig filterConfig = null;  @Override  public void destroy() {    this.filterConfig = null;  }  @Override  public void doFilter(ServletRequest request, ServletResponse response,      FilterChain chain) throws IOException, ServletException {    chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  }  @Override  public void init(FilterConfig filterConfig) throws ServletException {    this.filterConfig = filterConfig;  }}

具体实现是通过HttpServletRequestWrapper来获取request的内容,然后通过重写getParameterValues()、getParameter()方法进行处理的。

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {    super(servletRequest);  }  @Override  public String[] getParameterValues(String parameter) {    String[] values = super.getParameterValues(parameter);    if (values == null) {      return null;    }    int count = values.length;    String[] encodedValues = new String[count];    for (int i = 0; i < count; i++) {      System.out.println("before:"+values[i]);      encodedValues[i] = JsoupUtil.clean(cleanAnyFileRead((String) values[i]));      System.out.println("after:"+encodedValues[i]);    }    return encodedValues;  }
这里存在第一种绕过方式,因为对于multipart/form-data这种数据类型上述过滤器明显也是无法获取request提交内容的,那么可以尝试转换multipart的方式进行提交,尝试绕过相关的过滤器:

113e10aa87378fc5b0ca1840d45a7ed1.png

比较可惜的是,这里对任意文件下载接口并不适用,因为其是用@GetMapping("/downloadFile.do")进行注解的,限制了请求方法为GET。获取数据的方式虽然不全面,但是仅针对/downloadFile.do接口来说的话是足够的了,那么继续往下看相关的过滤规则是否存在缺陷。

这里存在两层过滤,一层是通过cleanAnyFileRead()过滤任意文件上传的敏感输入的,第二层是调用工具类JsoupUtil.clean()方法进行XSS输入过滤。

@Overridepublic String getParameter(String parameter) {  String value = super.getParameter(parameter);  if (value == null) {    return null;  }  return JsoupUtil.clean(cleanAnyFileRead((String) value));}

首先看任意文件下载的过滤,这里是简单的使用正则进行过滤,出现一次或者多次的.且以/结尾的内容都进行过滤,例如…/、./等,这也就解释了为什么前面测试时输入…/…/…/etc/passwd失败了,过滤后返回的内容为/etc/passwd,拼接uploadPath后不存在相关的文件,路径穿越失败:

private static String cleanAnyFileRead(String value) {  value = value.replaceAll("\\.+/", "");  return value;}

继续往下看xss的过滤,JsoupUtil.clean()方法的具体实现如下:

public class JsoupUtil {    /**     * 配置白名单为基本使用的标签再加上img标签     */    private static final Whitelist WHITELIST = Whitelist.basicWithImages();    /**     * 配置过滤的参数,不对代码格式化     */    private static final Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);    static {        //富文本编辑时一些样式是使用style来进行实现的 比如红色字体 style="color:red;" 所以需要给所有标签添加style属性        WHITELIST.addAttributes(":all","style");    }    public static String clean(String content){        return Jsoup.clean(content,"",WHITELIST,OUTPUT_SETTINGS);    }}

比较简单粗暴,直接使用jsoup组件进行了过滤。这里简单介绍下jsoup的api:使用Jsoup的clean方法进行清除HTML标签操作,该方法会清除在你所指定的白名单whitelist中的所有HTML标签。默认的Jsoup提供了5种Whitelist的API

  • none()
    该API会清除所有HTML标签,仅保留文本节点。
  • impleTest()
    该API仅会保留b, em, i, strong, u 标签,除此之外的所有HTML标签都会被清除。
  • basic()
    该API会保留 a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, span, strike, strong, sub, sup, u, ul 和其适当的属性标签,除此之外的所有HTML标签都会被清除,且该API不允许出现图片(img tag)。另外该API中允许出现的超链接中可以允许其指定http, https, ftp, mailto 且在超链接中强制追加rel=nofollow属性。
  • basicWithImages()
    该API在保留basic()中允许出现的标签的同时也允许出现图片(img tag)和img的相关适当属性,且其src允许其指定 http 或 https。
  • relaxed()
    该API仅会保留 a, b, blockquote, br, caption, cite, code, col, colgroup, dd, div, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, span, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul 标签,除此之外的所有HTML标签都会被清除,且在超链接中不会强制追加rel=nofollow属性。
  • clean()
    此外Jsoup的Whitelist提供了addTags方法,利用该方法可以对whitelist进行自定义扩展:
public Whitelist addTags(String... tags)

所以JsoupUtil.clean()方法的效果应该是输入

weixin_39768917
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
文件上传漏洞—扩展名绕过
qq_42777804的博客
08-03 5851
预备知识 利用上传漏洞可以直接得到webshell,危害非常高导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。 实验目的 通过修改文件名,绕过黑名单,上传一句话木马,拿到webshell 实验工具 一句话木马、中国菜刀 实验环境 服务器一台(Windows Server 2003)客户机一台(Windows Server...
任意文件读取下载漏洞
weixin_48712514的博客
05-19 1589
1. 任意文件读取 一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是源代码文件,配置文件,敏感文件等等。 1:敏感信息泄露 2:目录穿越,目录穿透,目录遍历 任意文件读取与下载漏洞原理 1:从权限的角度来讲,读取与下载都是属于读权限 漏洞成因 不管是任意文件读取还是任意文件下载,触发漏洞的条件都是相同的 1:存在读取文件的函数(web应用开放了读取功能) 2:读取文件的路径客户端可控(完全控制) 3:没有对文件
任意文件读取/下载漏洞
最新发布
qq_68163788的博客
05-23 2683
任意文件读取/下载漏洞是一种常见的网络安全漏洞,攻击者利用该漏洞可以访问和下载服务器上的任意文件,包括敏感信息、配置文件、数据库文件等。这种漏洞通常由于程序员在编写代码时未正确过滤用户输入导致,攻击者可以通过在输入中插入特定的路径遍历字符(如../)来尝试访问系统上的其他文件。 攻击者利用任意文件读取/下载漏洞可以获取系统重要信息,如用户凭证、敏感数据等,进而造成严重的安全威胁。攻击者可以利用这些信息进行进一步的攻击,或者将其用于勒索、欺诈等恶意活动。
php下载源文件绕开下载地址,Fengcms 最新版v1.24任意文件下载(绕过过滤)
weixin_31269985的博客
03-19 221
### 简要描述:之前fengcms修复了好几次这个问题,但依旧知识不对。不过到我这个应该就终结了,我会给出好的解决方案。这也不是厂商的问题,如果不是专门搞安全的人也很难考虑到这一点。多说一句,fengcms送的礼物已经收到了,再次感谢!这种厂商要奖励,很负责!!官方给出的测试站已经升到最新版了,我这里测试通过,已经可以下载config.php。### 详细说明:/app/controller/d...
任意文件下载漏洞原理以及修复方法
it知识分享 free for nothing..
12-25 1387
任意文件下载漏洞原理以及修复方法
auto_clean.rar_linux 删除文件_linux 删除文件_删除文件
09-24
"auto_clean.rar_linux 删除文件_linux 删除文件_删除文件"这个标题暗示了一个自动化工具,它可能用于递归地删除指定目录下的所有文件,这在清理临时文件、日志文件或者维护系统时非常有用。下面我们将详细讨论Linux...
ftp.zip_ftp c_libcurl_libcurl ftp_libcurl下载文件_vs2010 cppclean
09-21
FTP(File Transfer Protocol)是一种广泛使用的网络协议,用于在互联网上进行文件的上传和下载。在本项目中,我们关注的是如何在Visual Studio 2010环境下利用C++和libcurl库来实现FTP功能。libcurl是一个强大的、...
HTTPDownloadFileMe.tar.gz_HTTP下载文件_HttpDownloadFile_c http 下载 li
07-15
在下载文件时,客户端(通常是浏览器)发送一个GET请求到服务器,服务器接收到请求后返回文件内容。 C语言是底层编程的首选,可以提供对系统资源的直接控制,因此非常适合编写这种低级别的网络程序。在Linux环境下...
dotnetfx_cleanup_tool_2015_12_18
06-01
标题“dotnetfx_cleanup_tool_2015_12_18”指的是一个特定版本的.NET Framework清理工具,发布于2015年12月18日。这个工具主要用于帮助用户卸载或清理系统中已安装的.NET Framework组件,解决与.NET相关的安装问题...
DES3.rar_DE_delphi 文件加密_des3 _文件加密
09-21
1. `_clean.bat`:这是一个批处理文件,通常用于清理编译过程产生的临时文件或执行其他自动化任务。 2. `des.c`:这是C语言编写的源代码文件,可能包含了DES3加密算法的核心实现。 3. `Unit1.dfm`:这是Delphi中的一...
上传绕过WAF的15中姿势
06-29
绕过WAF进行文件上传的文旦,可以学习一些姿势加以利用。
CTF学习笔17:iwebsec-文件上传漏洞-02-文件名过滤绕过
lvx++的博客
02-20 1494
一、将文件扩展名改为.phP即可上传 上传路径为up/2.phP 二、测试连接
iwebsec靶场 文件上传漏洞通关笔2-第02关 文件名过滤绕过
mooyuan的博客
12-08 1158
分析可知仅对php后缀进行判断,而且是黑名单判断,只要是php后缀那就会提示失败,而其他类型则会成功。由于后缀仅判断php关键字,故而可以考虑使用大小写绕过,比如说.PHP、.pHP、.PhP、.PHp等等,都可以绕过php关键字过滤。由于后台源码仅过滤php后缀,那么可以通过大小写后缀绕过,构建脚本info2.pHp。随手上传脚本info.php,如下所示提示不能上传php文件。在图片预览处点击鼠标右键,选择复制图片地址。如下所示为02.php的源码内容。iwebsec 靶场漏洞库。
Web学习笔8-【过滤器Filter:功能、使用方法、生命周期、使用场景,文件的上传,文件的下载】
爱吃凉拌辣芒果的博客
03-19 1231
过滤器Filter:功能、使用方法、生命周期、使用场景,文件的上传,文件的下载
JavaWeb-day05-过滤器与监听器与文件上传下载
yb14672的博客
08-25 366
过滤器、监听器、文件的上传下载
servlet实现文件上传下载以及Filter过滤器使用
java编程学习_java基础教程_booyzhang的博客
05-29 828
servlet实现上传下载 文件上传: 主流程类: package com.booy; import javax.servlet.ServletException; import javax.servlet.annotation.MultipartConfig; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletReq
php 长文件绕过,文件上传漏洞限制绕过总结
weixin_33904522的博客
03-11 711
0x01 前言在如今的合法渗透测试中,我们已经很难遇到不受限制的文件上传功能了。现在是不是就没有文件上传漏洞存在了呢,然后事实并非如此,往往我们可以绕过某些文件上传限制。本文就将研究Web应用程序如何处理文件上传过程以及如何验证上传文件的合法性,从而讨论如何绕过这些验证。PHP文件上传关键函数:move_uploaded_file()0x02 客户端过滤客户端验证是在我们输入发送到服务器之前进行的...
cleanclass文件全部丢失_大数据专家,详解HadoopMapReduce处理海量小文件:压缩文件
weixin_39862097的博客
11-25 95
前言在HDFS上存储文件,大量的小文件是非常消耗NameNode内存的,因为每个文件都会分配一个文件描述符,NameNode需要在启动的时候加载全部文件的描述信息,所以文件越多,对NameNode来说开销越大。我们可以考虑,将小文件压缩以后,再上传到HDFS中,这时只需要一个文件描述符信息,自然大大减轻了NameNode对内存使用的开销。MapReduce计算中,Hadoop内置提供了如下几种压缩...
目录穿越及其绕过
web1的博客
09-01 6786
1、目录遍历读取任意文件(相对路径) ?filename=37.jpg /var/www/images/37.jpg …/…/…/etc/passwd 2、绝对路径 3、过滤 …/ ,重写即可 修改filename参数,赋予其值:…//…//…//etc/passwd …//…//…//etc/passwd …/…/…/etc/passwd 4、使用各种url编码(例如…%c0%af或…%252f)来绕过输入过滤器 修改filename参数,赋予它值…%252f…%252f…%252fetc/passw
dotnetfx_cleanup_tool_2015_12_18.zip
02-01
dotnetfx_cleanup_tool_2015_12_18.zip是一个用于清理Microsoft .NET Framework安装相关问题的工具。 .NET Framework是一个由微软开发的用于构建和运行Windows操作系统上应用程序的一个框架。然而,在安装和卸载...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值