2. 程式人生 > >Java審計之檔案操作漏洞

Java審計之檔案操作漏洞

阿新 發佈:2020-09-20
# Java審計之檔案操作漏洞篇 ## 0x00 前言 本篇內容打算把Java審計中會遇到的一些檔案操作的漏洞,都給敘述一遍。比如一些任意檔案上傳,檔案下載,檔案讀取,檔案刪除,這些操作檔案的漏洞。 ## 0x01 檔案上傳漏洞 ### RandomAccessFile類上傳檔案案例: ``` package com.test; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.RandomAccessFile; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @WebServlet("/FileUploadServlet") public class domain extends HttpServlet { private static final long serialVersionUID = 1L; public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { InputStream inputStream = request.getInputStream(); String realPath = request.getServletContext().getRealPath("/upload"); System.out.println(realPath); File tempFile = new File(realPath,"temp.tmp"); if (!tempFile.exists()){ tempFile.createNewFile(); } FileOutputStream fos = new FileOutputStream(tempFile); byte[] buffer = new byte[1024]; int len = 0; while(-1 != (len = inputStream.read(buffer))){ fos.write(buffer, 0, len); } RandomAccessFile randomFile = new RandomAccessFile(tempFile, "r"); randomFile.readLine(); String contentDisposition = randomFile.readLine(); String filename = contentDisposition.substring(contentDisposition.indexOf("filename=\""), contentDisposition.lastIndexOf("\"")); filename = filename.replace("filename=\"", ""); // 防止中文亂碼 filename = new String(filename.getBytes("ISO-8859-1"),"UTF-8"); System.out.println(filename); randomFile.seek(0); long start = 0; int forth = 1; while(-1 != (len = randomFile.readByte()) && (forth<=4)){ if(len == '\n'){ start = randomFile.getFilePointer(); forth++; } } fos.close(); inputStream.close(); File saveFile = new File(realPath,filename); RandomAccessFile randomAccessFile = new RandomAccessFile(saveFile, "rw"); randomFile.seek(randomFile.length()); long endPosition = randomFile.getFilePointer(); int j = 1; while((endPosition >= 0) && j <= 2){ endPosition --; randomFile.seek(endPosition); if(randomFile.readByte() =='\n'){ j++; } } randomFile.seek(start); long startPoint = randomFile.getFilePointer(); while(startPoint < endPosition-1){ randomAccessFile.write(randomFile.readByte()); startPoint = randomFile.getFilePointer(); } randomAccessFile.close(); randomFile.close(); tempFile.delete(); System.out.println("檔案上傳成功"); } } ``` 這裡並沒有校驗任何的檔案型別,進行了上傳。 ### commons-fileupload類上傳案例: ``` package com.test; import org.apache.commons.fileupload.FileItem; import org.apache.commons.fileupload.FileUploadException; import org.apache.commons.fileupload.disk.DiskFileItemFactory; import org.apache.commons.fileupload.servlet.ServletFileUpload; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.RandomAccessFile; import java.util.List; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; @WebServlet("/FileUploadServlet") public class domain extends HttpServlet{ @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //得到上傳檔案的儲存目錄,將上傳的檔案存放於WEB-INF目錄下,不允許外界直接訪問,保證上傳檔案的安全 String savePath = this.getServletContext().getRealPath("/WEB-INF/upload"); File file = new File(savePath); if(!file.exists()&&!file.isDirectory()){ System.out.println("目錄或檔案不存在!"); file.mkdir(); } //訊息提示 String message = ""; try { //使用Apache檔案上傳元件處理檔案上傳步驟: //1、建立一個DiskFileItemFactory工廠 DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory(); //2、建立一個檔案上傳解析器 ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory); //解決上傳檔名的中文亂碼 fileUpload.setHeaderEncoding("UTF-8"); //3、判斷提交上來的資料是否是上傳表單的資料 if(!fileUpload.isMultipartContent(request)){ //按照傳統方式獲取資料 return; } //4、使用ServletFileUpload解析器解析上傳資料,解析結果返回的是一個List集合,每一個FileItem對應一個Form表單的輸入項 List list = fileUpload.parseRequest(request); for (FileItem item : list) { //如果fileitem中封裝的是普通輸入項的資料 if(item.isFormField()){ String name = item.getFieldName(); //解決普通輸入項的資料的中文亂碼問題 String value = item.getString("UTF-8"); String value1 = new String(name.getBytes("iso8859-1"),"UTF-8"); System.out.println(name+" "+value); System.out.println(name+" "+value1); }else{ //如果fileitem中封裝的是上傳檔案,得到上傳的檔名稱, String fileName = item.getName(); System.out.println(fileName); if(fileName==null||fileName.trim().equals("")){ continue; } //注意:不同的瀏覽器提交的檔名是不一樣的,有些瀏覽器提交上來的檔名是帶有路徑的,如: c:\a\b\1.txt,而有些只是單純的檔名,如:1.txt //處理獲取到的上傳檔案的檔名的路徑部分,只保留檔名部分 fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1); //獲取item中的上傳檔案的輸入流 InputStream is = item.getInputStream(); //建立一個檔案輸出流 FileOutputStream fos = new FileOutputStream(savePath+File.separator+fileName); //建立一個緩衝區 byte buffer[] = new byte[1024]; //判斷輸入流中的資料是否已經讀完的標識 int length = 0; //迴圈將輸入流讀入到緩衝區當中,(len=in.read(buffer))>0就表示in裡面還有資料 while((length = is.read(buffer))>0){ //使用FileOutputStream輸出流將緩衝區的資料寫入到指定的目錄(savePath + "\\" + filename)當中 fos.write(buffer, 0, length); } //關閉輸入流 is.close(); //關閉輸出流 fos.close(); //刪除處理檔案上傳時生成的臨時檔案 item.delete(); message = "檔案上傳成功"; } } } catch (FileUploadException e) { // TODO Auto-generated catch block e.printStackTrace(); message = "檔案上傳失敗"; } request.setAttribute("message",message); request.getRequestDispatcher("/message.jsp").forward(request, response); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } } ``` 這裡判斷了檔案是否為空,但是沒有判斷檔案的型別。 ``` public class UploadHandleServlet1 extends HttpServlet{ @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //得到上傳檔案的儲存目錄,將上傳的檔案存放於WEB-INF目錄下,不允許外界直接訪問,保證上傳檔案的安全 String savePath = this.getServletContext().getRealPath("/WEB-INF/upload"); //上傳時生成的臨時檔案儲存目錄 String tempPath = this.getServletContext().getRealPath("/WEB-INF/temp"); File file = new File(tempPath); if(!file.exists()&&!file.isDirectory()){ System.out.println("目錄或檔案不存在!"); file.mkdir(); } //訊息提示 String message = ""; try { //使用Apache檔案上傳元件處理檔案上傳步驟: //1、建立一個DiskFileItemFactory工廠 DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory(); //設定工廠的緩衝區的大小,當上傳的檔案大小超過緩衝區的大小時,就會生成一個臨時檔案存放到指定的臨時目錄當中。 diskFileItemFactory.setSizeThreshold(1024*100); //設定上傳時生成的臨時檔案的儲存目錄 diskFileItemFactory.setRepository(file); //2、建立一個檔案上傳解析器 ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory); //解決上傳檔名的中文亂碼 fileUpload.setHeaderEncoding("UTF-8"); //監聽檔案上傳進度 fileUpload.setProgressListener(new ProgressListener(){ public void update(long pBytesRead, long pContentLength, int arg2) { System.out.println("檔案大小為:" + pContentLength + ",當前已處理:" + pBytesRead); } }); //3、判斷提交上來的資料是否是上傳表單的資料 if(!fileUpload.isMultipartContent(request)){ //按照傳統方式獲取資料 return; } //設定上傳單個檔案的大小的最大值,目前是設定為1024*1024位元組,也就是1MB fileUpload.setFileSizeMax(1024*1024); //設定上傳檔案總量的最大值,最大值=同時上傳的多個檔案的大小的最大值的和,目前設定為10MB fileUpload.setSizeMax(1024*1024*10); //4、使用ServletFileUpload解析器解析上傳資料,解析結果返回的是一個List集合,每一個FileItem對應一個Form表單的輸入項 List list = fileUpload.parseRequest(request); for (FileItem item : list) { //如果fileitem中封裝的是普通輸入項的資料 if(item.isFormField()){ String name = item.getFieldName(); //解決普通輸入項的資料的中文亂碼問題 String value = item.getString("UTF-8"); String value1 = new String(name.getBytes("iso8859-1"),"UTF-8"); System.out.println(name+" "+value); System.out.println(name+" "+value1); }else{ //如果fileitem中封裝的是上傳檔案,得到上傳的檔名稱, String fileName = item.getName(); System.out.println(fileName); if(fileName==null||fileName.trim().equals("")){ continue; } //注意:不同的瀏覽器提交的檔名是不一樣的,有些瀏覽器提交上來的檔名是帶有路徑的,如: c:\a\b\1.txt,而有些只是單純的檔名,如:1.txt //處理獲取到的上傳檔案的檔名的路徑部分,只保留檔名部分 fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1); //得到上傳檔案的副檔名 String fileExtName = fileName.substring(fileName.lastIndexOf(".")+1); if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName)){ request.setAttribute("message", "上傳檔案的型別不符合!!!"); request.getRequestDispatcher("/message.jsp").forward(request, response); return; } //如果需要限制上傳的檔案型別,那麼可以通過檔案的副檔名來判斷上傳的檔案型別是否合法 System.out.println("上傳檔案的副檔名為:"+fileExtName); //獲取item中的上傳檔案的輸入流 InputStream is = item.getInputStream(); //得到檔案儲存的名稱 fileName = mkFileName(fileName); //得到檔案儲存的路徑 String savePathStr = mkFilePath(savePath, fileName); System.out.println("儲存路徑為:"+savePathStr); //建立一個檔案輸出流 FileOutputStream fos = new FileOutputStream(savePathStr+File.separator+fileName); //建立一個緩衝區 byte buffer[] = new byte[1024]; //判斷輸入流中的資料是否已經讀完的標識 int length = 0; //迴圈將輸入流讀入到緩衝區當中,(len=in.read(buffer))>0就表示in裡面還有資料 while((length = is.read(buffer))>0){ //使用FileOutputStream輸出流將緩衝區的資料寫入到指定的目錄(savePath + "\\" + filename)當中 fos.write(buffer, 0, length); } //關閉輸入流 is.close(); //關閉輸出流 fos.close(); //刪除處理檔案上傳時生成的臨時檔案 item.delete(); message = "檔案上傳成功"; } } } catch (FileUploadBase.FileSizeLimitExceededException e) { e.printStackTrace(); request.setAttribute("message", "單個檔案超出最大值!!!"); request.getRequestDispatcher("/message.jsp").forward(request, response); return; }catch (FileUploadBase.SizeLimitExceededException e) { e.printStackTrace(); request.setAttribute("message", "上傳檔案的總的大小超出限制的最大值!!!"); request.getRequestDispatcher("/message.jsp").forward(request, response); return; }catch (FileUploadException e) { // TODO Auto-generated catch block e.printStackTrace(); message = "檔案上傳失敗"; } request.setAttribute("message",message); request.getRequestDispatcher("/message.jsp").forward(request, response); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doGet(request, response); } //生成上傳檔案的檔名,檔名以:uuid+"_"+檔案的原始名稱 public String mkFileName(String fileName){ return UUID.randomUUID().toString()+"_"+fileName; } public String mkFilePath(String savePath,String fileName){ //得到檔名的hashCode的值,得到的就是filename這個字串物件在記憶體中的地址 int hashcode = fileName.hashCode(); int dir1 = hashcode&0xf; int dir2 = (hashcode&0xf0)>>4; //構造新的儲存目錄 String dir = savePath + "\\" + dir1 + "\\" + dir2; //File既可以代表檔案也可以代表目錄 File file = new File(dir); if(!file.exists()){ file.mkdirs(); } return dir; } } ``` 這段程式碼和上面不同的是新增多了一個黑名單,多了一個判斷條件,` if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName)`,但是這樣的黑名單還是能過去繞過的。 主要的審計要是看上傳地方是不是黑名單,如果是黑名單,該怎麼去繞過。如果是白名單,在jdk低版本中也可以使用%00截斷。 ### 驗證Mime型別檔案上傳案例 ``` public class mimetype { public static String main(String fileUrl) throws IOException { String type = null; URL u = new URL(fileUrl); URLConnection uc = u.openConnection(); type = uc.getContentType(); return type; } } ``` 0x01 任意檔案讀取 任意檔案讀取漏洞其實比較簡單,基本上就2種方法,一個是位元組輸入流InputStream,一個是FileReader字元輸入流。 InputStream: ``` @WebServlet("/readServlet") public class readServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String filename = request.getParameter("filename"); File file = new File(filename); OutputStream outputStream = null; InputStream inputStream = new FileInputStream(file); int len; byte[] bytes = new byte[1024]; while(-1 != (len = inputStream.read())) { outputStream.write(bytes,0,len); } }} ``` FileReader: ``` @WebServlet("/downServlet") public class readServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String filename = request.getParameter("filename"); String fileContent = ""; FileReader fileReader = new FileReader(filename); BufferedReader bufferedReader = new BufferedReader(fileReader); String line = ""; while (null != (line = bufferedReader.readLine())) { fileContent += (line + "\n"); } } } ``` 這兩種方法除了讀寫方式不一樣外,其餘的都是一樣的。 ## 0x02 任意檔案下載 在前面的ssrf中其實提到了這個檔案讀取和下載,但是ssrf中是進行了遠端請求的時候獲取的輸入流,然後進行輸出。而在任意檔案讀取或下載中,是直接去使用io流進行讀寫,顯示出來給我們。 ``` @WebServlet("/downServlet") public class readServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String filename = request.getParameter("filename"); String fileContent = ""; FileReader fileReader = new FileReader(filename); response.setHeader("content-disposition", "attachment;fileName=" + filename); BufferedReader bufferedReader = new BufferedReader(fileReader); String line = ""; while (null != (line = bufferedReader.readLine())) { fileContent += (line + "\n"); } } } ``` 和前面的檔案讀取也差不多,只是多了設定了一個響應體。 ## 0x03 任意檔案刪除 ``` @WebServlet("/downServlet") public class readServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String filename = request.getParameter("filename"); File file = new File(filename); PrintWriter writer = response.getWriter(); if(file != null && file.exists() && file.delete()) { writer.println("刪除成功"); } else { writer.println("刪除失敗"); } } } ``` ### 參考文章 ``` https://www.cnblogs.com/lcngu/p/5471610.html https://xz.aliyun.com/t/6986 ``` ## 0x04 結尾 本文的一些程式碼其實比較簡單,但是如果實際中還是需要注意一些可能產生漏洞

相關推薦

Java審計檔案操作漏洞

# Java審計之檔案操作漏洞篇 ## 0x00 前言 本篇內容打算把Java審計中會遇到的一些檔案操作的漏洞,都給敘述一遍。比如一些任意檔案上傳,檔案下載,檔案讀取,檔案刪除,這些操作檔案的漏洞。 ## 0x01 檔案上傳漏洞 ### RandomAccessFile類上傳檔案案

程式碼審計——檔案操作漏洞概述

0x00 前言 如飢似渴的學習ing。 0x01 檔案包含漏洞概述 本地檔案包含是指只能包含本機檔案的檔案包含漏洞,大多出現在模組載入、模板載入和cache呼叫這些地方。 1.遠端檔案包含 可以包含遠端

java中的io流檔案操作

io流的檔案相關層次圖 File類 檔案是用來儲存資料的,目錄是管理檔案的特殊機制 在Java語言中,檔案和目錄的管理是由java.io.File類來實現的。File類也屬於java.io包,但它不是InputStream或者OutputStream的子類,因此不負責資料

Java基礎知識檔案操作(三)——NIO獲取檔案屬性

1.NIO簡單介紹 JDK1.4開始,Java提供一系列改進的輸入/輸出處理的新功能,被稱為New IO(NIO),在java.nio包下。 Channel(通道)和 Buffer(緩衝)是NIO中兩個核心物件。 JDK1.7對原有的NIO進行了改進,被稱為NIO.2。 N

Java審計CMS中的那些反序列化漏洞

# Java審計之CMS中的那些反序列化漏洞 ## 0x00 前言 過年這段時間比較無聊,找了一套原始碼審計了一下,發現幾個有意思的點拿出來給分享一下。 ## 0x01 XStream 反序列化漏洞 下載原始碼下來發現並不是原始碼,而是一個的資料夾,裡面都已經是編譯過的一個個class檔案。

node總結檔案操作系列(二)

接著上一篇部落格來啊,咱們繼續看非同步模式下關閉檔案的語法格式: fs.close(fd, callback) 引數描述如下: fd - 通過 fs.open() 方法返回的檔案描述符。 callback - 回撥函式,沒有引數。 例項如下: var

node總結檔案操作系列(一)

Node.js 提供一組類似 UNIX(POSIX)標準的檔案操作API,我們來看下Node 匯入檔案系統模組(fs)語法,如下: var fs = require("fs") Node.js 檔案系統(fs 模組)模組中的方法均有非同步和同步版本,例如讀取檔案內容的函式有非同步的 fs

Java基礎IO操作(二)

Java基礎之IO操作(二) 一、BufferedInputStream public static void main(String[] args) { File src = new File("abc.txt"); //2、選擇流 InputStream is =null;

Java基礎IO操作(一)

Java基礎之IO操作(一) 一、FileInputStream 第一個程式,理解操作步驟 public static void main(String[] args) { //1、建立源 File src = new File("abc.txt"); //2、

python基礎檔案操作和簡單的類

檔案操作 #檔案刪除 import os path=".\\data\\" for s in os.listdir(path): filename=path+s print(filename) # os.remove("test.txt") #檔案開啟 f=open('test.

C++ 學習筆記——檔案操作檔案

1. 檔案的概念 對於使用者來說,常用到的檔案有兩大類:程式檔案和資料檔案。而根據檔案中資料的組織方式,則可以將檔案分為 ASCII 檔案和二進位制檔案。 ASCII 檔案,又稱字元檔案或者文字檔案,它的每一個位元組放一個 ASCII 程式碼,代表一個字元。 二進位制檔案,又稱內部格式檔案或位元

java併發原子操作類(AtomicLong原始碼分析)和非阻塞演算法

  背景 近年來,在併發演算法領域的大多數研究都側重於非阻塞演算法,這種演算法用底層的原子機器指令(例如比較併發交換指令)代替鎖來確保資料在併發訪問中的一致性。非阻塞演算法被廣泛的用於在作業系統和JVM中實現執行緒/程序排程機制、垃圾回收機制以及鎖和其他併發資料結構。 與基於鎖

python基礎檔案操作基礎

  Python基礎之檔案操作   1、檔案的開啟方式 讀檔案的方式有四種:   r:只讀   rb:二進位制讀取   r+:讀寫,先讀在寫,在檔案游標處接著寫   r+b:二進位制讀取資料,英文讀取英文,中文轉為二進位制   # #檔案操作,開啟一個檔

python 3 檔案操作

檔案操作 1.檔案處理的流程  1)開啟檔案,得到檔案控制代碼並賦值給一個變數 2)通過控制代碼對檔案進行操作 3)關閉檔案         能呼叫方法的一定是物件       

python基礎檔案操作和函式

一、知識點 1.三元運算 a = 2 b = 3 val = 6 if a < b else 7 print(val) 2.檔案讀取 f = open(file='file.txt',mode='r',coding='utf-8') data = f.read() print(d

C語言檔案操作

一、開啟檔案 1、函式 fopen(path, type) 2、引數介紹 引數 型別 說明 備註 path 字串 檔案路徑 如”./h

關於檔案的INode與Java中的檔案操作介面

本文由作者周樑偉授權網易雲社群釋出。 近日做的專案中涉及到多程序共同讀寫多個檔案的問題,檔名和最後修改時間都是可能會被頻繁修改的,因而識別檔案的唯一性會產生相當的麻煩,於是專門再學習了一下檔案系統對檔案的組織管理方式。 一、    檔案在檔案系統中的組織方式 一塊物

Java中上傳檔案操作

package com.bootdo.nsmp.domain; import java.io.Serializable; public class Material implements Serializable{ private static final lon

python檔案操作的幾種模式總結

      檔案操作的幾種模式: "w"                             #write ,清空寫,生成一

python檔案操作示例

    方法一: with open("e:\\gloryroad.txt","a+",encoding="utf-8") as file: file.write("------"+"\n") print(file.tell()) 備註:使用此方式操作檔案,可以不用寫close()