Java审计之文件操作漏洞
Java审计之文件操作漏洞篇
0x00 前言
本篇内容打算把Java审计中会遇到的一些文件操作的漏洞,都给叙述一遍。比如一些任意文件上传,文件下载,文件读取,文件删除,这些操作文件的漏洞。
0x01 文件上传漏洞
RandomAccessFile类上传文件案例:
package com.test;import java.io.File;import java.io.FileOutputStream;import java.io.IOException;import java.io.InputStream;import java.io.RandomAccessFile;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;@WebServlet("/FileUploadServlet")public class domain extends HttpServlet {private static final long serialVersionUID = 1L;public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {InputStream inputStream = request.getInputStream();String realPath = request.getServletContext().getRealPath("/upload");System.out.println(realPath);File tempFile = new File(realPath,"temp.tmp");if (!tempFile.exists()){tempFile.createNewFile();}FileOutputStream fos = new FileOutputStream(tempFile);byte[] buffer = new byte[1024];int len = 0;while(-1 != (len = inputStream.read(buffer))){fos.write(buffer, 0, len);}RandomAccessFile randomFile = new RandomAccessFile(tempFile, "r");randomFile.readLine();String contentDisposition = randomFile.readLine();String filename = contentDisposition.substring(contentDisposition.indexOf("filename=\""), contentDisposition.lastIndexOf("\""));filename = filename.replace("filename=\"", "");// 防止中文乱码filename = new String(filename.getBytes("ISO-8859-1"),"UTF-8");System.out.println(filename);randomFile.seek(0);long start = 0;int forth = 1;while(-1 != (len = randomFile.readByte()) && (forth<=4)){if(len == '\n'){start = randomFile.getFilePointer();forth++;}}fos.close();inputStream.close();File saveFile = new File(realPath,filename);RandomAccessFile randomAccessFile = new RandomAccessFile(saveFile, "rw");randomFile.seek(randomFile.length());long endPosition = randomFile.getFilePointer();int j = 1;while((endPosition >= 0) && j <= 2){endPosition --;randomFile.seek(endPosition);if(randomFile.readByte() =='\n'){j++;}}randomFile.seek(start);long startPoint = randomFile.getFilePointer();while(startPoint < endPosition-1){randomAccessFile.write(randomFile.readByte());startPoint = randomFile.getFilePointer();}randomAccessFile.close();randomFile.close();tempFile.delete();System.out.println("文件上传成功");}}
这里并没有校验任何的文件类型,进行了上传。
commons-fileupload类上传案例:
package com.test;import org.apache.commons.fileupload.FileItem;import org.apache.commons.fileupload.FileUploadException;import org.apache.commons.fileupload.disk.DiskFileItemFactory;import org.apache.commons.fileupload.servlet.ServletFileUpload;import java.io.File;import java.io.FileOutputStream;import java.io.IOException;import java.io.InputStream;import java.io.RandomAccessFile;import java.util.List;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;@WebServlet("/FileUploadServlet")public class domain extends HttpServlet{@Overrideprotected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {//得到上传文件的保存目录,将上传的文件存放于WEB-INF目录下,不允许外界直接访问,保证上传文件的安全String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");File file = new File(savePath);if(!file.exists()&&!file.isDirectory()){System.out.println("目录或文件不存在!");file.mkdir();}//消息提示String message = "";try {//使用Apache文件上传组件处理文件上传步骤://1、创建一个DiskFileItemFactory工厂DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();//2、创建一个文件上传解析器ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);//解决上传文件名的中文乱码fileUpload.setHeaderEncoding("UTF-8");//3、判断提交上来的数据是否是上传表单的数据if(!fileUpload.isMultipartContent(request)){//按照传统方式获取数据return;}//4、使用ServletFileUpload解析器解析上传数据,解析结果返回的是一个List<FileItem>集合,每一个FileItem对应一个Form表单的输入项List<FileItem> list = fileUpload.parseRequest(request);for (FileItem item : list) {//如果fileitem中封装的是普通输入项的数据if(item.isFormField()){String name = item.getFieldName();//解决普通输入项的数据的中文乱码问题String value = item.getString("UTF-8");String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");System.out.println(name+" "+value);System.out.println(name+" "+value1);}else{//如果fileitem中封装的是上传文件,得到上传的文件名称,String fileName = item.getName();System.out.println(fileName);if(fileName==null||fileName.trim().equals("")){continue;}//注意:不同的浏览器提交的文件名是不一样的,有些浏览器提交上来的文件名是带有路径的,如: c:\a\b\1.txt,而有些只是单纯的文件名,如:1.txt//处理获取到的上传文件的文件名的路径部分,只保留文件名部分fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);//获取item中的上传文件的输入流InputStream is = item.getInputStream();//创建一个文件输出流FileOutputStream fos = new FileOutputStream(savePath+File.separator+fileName);//创建一个缓冲区byte buffer[] = new byte[1024];//判断输入流中的数据是否已经读完的标识int length = 0;//循环将输入流读入到缓冲区当中,(len=in.read(buffer))>0就表示in里面还有数据while((length = is.read(buffer))>0){//使用FileOutputStream输出流将缓冲区的数据写入到指定的目录(savePath + "\\" + filename)当中fos.write(buffer, 0, length);}//关闭输入流is.close();//关闭输出流fos.close();//删除处理文件上传时生成的临时文件item.delete();message = "文件上传成功";}}} catch (FileUploadException e) {// TODO Auto-generated catch blocke.printStackTrace();message = "文件上传失败";}request.setAttribute("message",message);request.getRequestDispatcher("/message.jsp").forward(request, response);}@Overrideprotected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}}
这里判断了文件是否为空,但是没有判断文件的类型。
public class UploadHandleServlet1 extends HttpServlet{@Overrideprotected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {//得到上传文件的保存目录,将上传的文件存放于WEB-INF目录下,不允许外界直接访问,保证上传文件的安全String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");//上传时生成的临时文件保存目录String tempPath = this.getServletContext().getRealPath("/WEB-INF/temp");File file = new File(tempPath);if(!file.exists()&&!file.isDirectory()){System.out.println("目录或文件不存在!");file.mkdir();}//消息提示String message = "";try {//使用Apache文件上传组件处理文件上传步骤://1、创建一个DiskFileItemFactory工厂DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();//设置工厂的缓冲区的大小,当上传的文件大小超过缓冲区的大小时,就会生成一个临时文件存放到指定的临时目录当中。diskFileItemFactory.setSizeThreshold(1024*100);//设置上传时生成的临时文件的保存目录diskFileItemFactory.setRepository(file);//2、创建一个文件上传解析器ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);//解决上传文件名的中文乱码fileUpload.setHeaderEncoding("UTF-8");//监听文件上传进度fileUpload.setProgressListener(new ProgressListener(){public void update(long pBytesRead, long pContentLength, int arg2) {System.out.println("文件大小为:" + pContentLength + ",当前已处理:" + pBytesRead);}});//3、判断提交上来的数据是否是上传表单的数据if(!fileUpload.isMultipartContent(request)){//按照传统方式获取数据return;}//设置上传单个文件的大小的最大值,目前是设置为1024*1024字节,也就是1MBfileUpload.setFileSizeMax(1024*1024);//设置上传文件总量的最大值,最大值=同时上传的多个文件的大小的最大值的和,目前设置为10MBfileUpload.setSizeMax(1024*1024*10);//4、使用ServletFileUpload解析器解析上传数据,解析结果返回的是一个List<FileItem>集合,每一个FileItem对应一个Form表单的输入项List<FileItem> list = fileUpload.parseRequest(request);for (FileItem item : list) {//如果fileitem中封装的是普通输入项的数据if(item.isFormField()){String name = item.getFieldName();//解决普通输入项的数据的中文乱码问题String value = item.getString("UTF-8");String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");System.out.println(name+" "+value);System.out.println(name+" "+value1);}else{//如果fileitem中封装的是上传文件,得到上传的文件名称,String fileName = item.getName();System.out.println(fileName);if(fileName==null||fileName.trim().equals("")){continue;}//注意:不同的浏览器提交的文件名是不一样的,有些浏览器提交上来的文件名是带有路径的,如: c:\a\b\1.txt,而有些只是单纯的文件名,如:1.txt//处理获取到的上传文件的文件名的路径部分,只保留文件名部分fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);//得到上传文件的扩展名String fileExtName = fileName.substring(fileName.lastIndexOf(".")+1);if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName)){request.setAttribute("message", "上传文件的类型不符合!!!");request.getRequestDispatcher("/message.jsp").forward(request, response);return;}//如果需要限制上传的文件类型,那么可以通过文件的扩展名来判断上传的文件类型是否合法System.out.println("上传文件的扩展名为:"+fileExtName);//获取item中的上传文件的输入流InputStream is = item.getInputStream();//得到文件保存的名称fileName = mkFileName(fileName);//得到文件保存的路径String savePathStr = mkFilePath(savePath, fileName);System.out.println("保存路径为:"+savePathStr);//创建一个文件输出流FileOutputStream fos = new FileOutputStream(savePathStr+File.separator+fileName);//创建一个缓冲区byte buffer[] = new byte[1024];//判断输入流中的数据是否已经读完的标识int length = 0;//循环将输入流读入到缓冲区当中,(len=in.read(buffer))>0就表示in里面还有数据while((length = is.read(buffer))>0){//使用FileOutputStream输出流将缓冲区的数据写入到指定的目录(savePath + "\\" + filename)当中fos.write(buffer, 0, length);}//关闭输入流is.close();//关闭输出流fos.close();//删除处理文件上传时生成的临时文件item.delete();message = "文件上传成功";}}} catch (FileUploadBase.FileSizeLimitExceededException e) {e.printStackTrace();request.setAttribute("message", "单个文件超出最大值!!!");request.getRequestDispatcher("/message.jsp").forward(request, response);return;}catch (FileUploadBase.SizeLimitExceededException e) {e.printStackTrace();request.setAttribute("message", "上传文件的总的大小超出限制的最大值!!!");request.getRequestDispatcher("/message.jsp").forward(request, response);return;}catch (FileUploadException e) {// TODO Auto-generated catch blocke.printStackTrace();message = "文件上传失败";}request.setAttribute("message",message);request.getRequestDispatcher("/message.jsp").forward(request, response);}@Overrideprotected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {doGet(request, response);}//生成上传文件的文件名,文件名以:uuid+"_"+文件的原始名称public String mkFileName(String fileName){return UUID.randomUUID().toString()+"_"+fileName;}public String mkFilePath(String savePath,String fileName){//得到文件名的hashCode的值,得到的就是filename这个字符串对象在内存中的地址int hashcode = fileName.hashCode();int dir1 = hashcode&0xf;int dir2 = (hashcode&0xf0)>>4;//构造新的保存目录String dir = savePath + "\\" + dir1 + "\\" + dir2;//File既可以代表文件也可以代表目录File file = new File(dir);if(!file.exists()){file.mkdirs();}return dir;}}
这段代码和上面不同的是添加多了一个黑名单,多了一个判断条件, if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName),但是这样的黑名单还是能过去绕过的。
主要的审计要是看上传地方是不是黑名单,如果是黑名单,该怎么去绕过。如果是白名单,在jdk低版本中也可以使用%00截断。
验证Mime类型文件上传案例
public class mimetype {public static String main(String fileUrl) throws IOException {String type = null;URL u = new URL(fileUrl);URLConnection uc = u.openConnection();type = uc.getContentType();return type;}}
0x01 任意文件读取
任意文件读取漏洞其实比较简单,基本上就2种方法,一个是字节输入流InputStream,一个是FileReader字符输入流。
InputStream:
@WebServlet("/readServlet")public class readServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String filename = request.getParameter("filename");File file = new File(filename);OutputStream outputStream = null;InputStream inputStream = new FileInputStream(file);int len;byte[] bytes = new byte[1024];while(-1 != (len = inputStream.read())) {outputStream.write(bytes,0,len);}}}
FileReader:
@WebServlet("/downServlet")public class readServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String filename = request.getParameter("filename");String fileContent = "";FileReader fileReader = new FileReader(filename);BufferedReader bufferedReader = new BufferedReader(fileReader);String line = "";while (null != (line = bufferedReader.readLine())) {fileContent += (line + "\n");}}}
这两种方法除了读写方式不一样外,其余的都是一样的。
0x02 任意文件下载
在前面的ssrf中其实提到了这个文件读取和下载,但是ssrf中是进行了远程请求的时候获取的输入流,然后进行输出。而在任意文件读取或下载中,是直接去使用io流进行读写,显示出来给我们。
@WebServlet("/downServlet")public class readServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String filename = request.getParameter("filename");String fileContent = "";FileReader fileReader = new FileReader(filename);response.setHeader("content-disposition", "attachment;fileName=" + filename);BufferedReader bufferedReader = new BufferedReader(fileReader);String line = "";while (null != (line = bufferedReader.readLine())) {fileContent += (line + "\n");}}}
和前面的文件读取也差不多,只是多了设置了一个响应体。
0x03 任意文件删除
@WebServlet("/downServlet")public class readServlet extends HttpServlet {protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {this.doGet(request, response);}protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {String filename = request.getParameter("filename");File file = new File(filename);PrintWriter writer = response.getWriter();if(file != null && file.exists() && file.delete()) {writer.println("删除成功");} else {writer.println("删除失败");}}}
参考文章
https://www.cnblogs.com/lcngu/p/5471610.htmlhttps://xz.aliyun.com/t/6986
0x04 结尾
本文的一些代码其实比较简单,但是如果实际中还是需要注意一些可能产生漏洞的点。
Java审计之文件操作漏洞的更多相关文章
- Java IO,io,文件操作,删除文件,删除文件夹,获取文件父级目录
Java IO,io,文件操作,删除文件,删除文件夹,获取文件父级目录 这里先简单的贴下常用的方法: File.separator //当前系统文件分隔符 File.pathSeparator // ...
- Java中的文件操作(一)RandomAccessFile
今天,学到的是java中的文件操作. Java.IO.File Java中操作文件用到RandomAccessFile类,既可以读取文件内容,也可以向文件输出数据,但不同与普通输入/输出流的是Rand ...
- PHP代码审计——文件操作漏洞
梦想CMS(lmxcms)任意文件删除 1. 漏洞详情--CNVD-2020-59469 2. 漏洞描述称后台Ba***.cl***.php文件存在任意文件删除,查看cms源码,只有BackdbA ...
- Java最全文件操作实例汇总
本文实例汇总了Java文件操作.分享给大家供大家参考,具体如下: 1.创建文件夹 ? 1 2 3 4 5 6 7 8 9 10 11 //import java.io.*; File myFolder ...
- Java中的文件操作
在使用计算机编程中,常常会用到对于文件的操作,以下是我对于Java中文件的相关内容学习之后的一个总结和在学习过程中遇到的一些问题. 一.什么是文件 对于文件进行操作,首先我们要知道什么是文件.在此之前 ...
- 关于文件的INode与Java中的文件操作接口
本文由作者周梁伟授权网易云社区发布. 近日做的项目中涉及到多进程共同读写多个文件的问题,文件名和最后修改时间都是可能会被频繁修改的,因而识别文件的唯一性会产生相当的麻烦,于是专门再学习了一下文件系统对 ...
- 第11讲-Java泛型和文件操作
1.知识点 1.1.课程回顾 1.2.本章重点 1.2.1.泛型 1.2.2.文件操作 2.具体内容 2.1.Java泛型 2.1.1.为什么需要泛型 我们发现在List中,底层是Object[ ]数 ...
- Java7 新特性 —— java.nio.file 文件操作
本文部分摘自 On Java 8 自 Java7 开始,Java 终于简化了文件读写的基本操作,新增了 java.nio.file 库,通过与 Java8 新增的 stream 结合可以使得文件操作变 ...
- Java和Android文件操作
File这是文件基类,抽象地代表一个文件实体,它有四个不同的构造方法: File(File dir, String name) File(String path) File(String dir ...
随机推荐
- PAT 2-09. 装箱问题模拟(20)
题目链接 :http://www.patest.cn/contests/ds/2-09 解题思路:直接模拟, 记录已经使用的箱子的剩余容量, 如果已经使用的箱子中没有可以放下物品的箱子, 在增加另一个 ...
- Jmeter 常用函数(12)- 详解 __machineName
如果你想查看更多 Jmeter 常用函数可以在这篇文章找找哦 https://www.cnblogs.com/poloyy/p/13291704.html 作用 返回机器(电脑)名称 语法格式 ${_ ...
- js中的寄生组合继承
function inheritProperty(subType, superType) { function F(){} F.prototype = superType.prototype; sup ...
- BIGI行情http请求实时行情数据方式
BIGI行情http请求实时行情数据方式 新浪财经文华财经并非实时行情数据源,所以获取的行情数据源也并非实时的.以下介绍的方法和新浪财经获取行情数据源的方法是一致的.需要实时行情数据源可以向BIGI行 ...
- Robot Framework(3)——RIDE工具详解
上一篇介绍了用RF来简单运行案例,此篇主要了解一下工具操作 一.菜单栏 1.File 1>New Project:新建工程 2>Open Test Suite:打开测试套件 3>Op ...
- Hadoop 2.6.1 集群安装配置教程
集群环境: 192.168.56.10 master 192.168.56.11 slave1 192.168.56.12 slave2 下载安装包/拷贝安装包 # 存放路径: cd /usr/loc ...
- 区块链入门到实战(22)之以太坊(Ethereum) – 账号(地址)
作用: 外部账号 – 用户使用的账号,账户余额. 合约账号 – 智能合约使用的账号,每个智能合约都有一个账号,内存和账户余额 以太坊(Ethereum)网络中,有2种账号: 外部账号 – 用户使用的账 ...
- Struts+Servlet+JDBC网上手机销售系统
项目描述 Hi,大家好,今天给大家分享一个<网上手机销售系统>.本系统一共分为前台和后台两大模块,两个模块之间虽然在表面上是相互独立的,但是在对数据库的访问上是紧密相连的,各个模块访问的是 ...
- mysql 8.0.11安装教程
安装环境:win7 1. 下载安装包 下载地址:https://dev.mysql.com/downloads/file/?id=476233 2. 解压zip包 3. 初始化my.ini 创建my. ...
- Unity报与System.IO相关的错误
比如这个: Type `System.IO.FileInfo' does not contain a definition for `OpenText' and no extension method ...