Java審計之文件操做漏洞
Java審計之文件操做漏洞篇
0x00 前言
本篇內容打算把Java審計中會遇到的一些文件操做的漏洞,都給敘述一遍。好比一些任意文件上傳,文件下載,文件讀取,文件刪除,這些操做文件的漏洞。html
0x01 文件上傳漏洞
RandomAccessFile類上傳文件案例:
package com.test;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.RandomAccessFile;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/FileUploadServlet")
public class domain extends HttpServlet {
private static final long serialVersionUID = 1L;
public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
InputStream inputStream = request.getInputStream();
String realPath = request.getServletContext().getRealPath("/upload");
System.out.println(realPath);
File tempFile = new File(realPath,"temp.tmp");
if (!tempFile.exists()){
tempFile.createNewFile();
}
FileOutputStream fos = new FileOutputStream(tempFile);
byte[] buffer = new byte[1024];
int len = 0;
while(-1 != (len = inputStream.read(buffer))){
fos.write(buffer, 0, len);
}
RandomAccessFile randomFile = new RandomAccessFile(tempFile, "r");
randomFile.readLine();
String contentDisposition = randomFile.readLine();
String filename = contentDisposition.substring(contentDisposition.indexOf("filename=\""), contentDisposition.lastIndexOf("\""));
filename = filename.replace("filename=\"", "");
// 防止中文亂碼
filename = new String(filename.getBytes("ISO-8859-1"),"UTF-8");
System.out.println(filename);
randomFile.seek(0);
long start = 0;
int forth = 1;
while(-1 != (len = randomFile.readByte()) && (forth<=4)){
if(len == '\n'){
start = randomFile.getFilePointer();
forth++;
}
}
fos.close();
inputStream.close();
File saveFile = new File(realPath,filename);
RandomAccessFile randomAccessFile = new RandomAccessFile(saveFile, "rw");
randomFile.seek(randomFile.length());
long endPosition = randomFile.getFilePointer();
int j = 1;
while((endPosition >= 0) && j <= 2){
endPosition --;
randomFile.seek(endPosition);
if(randomFile.readByte() =='\n'){
j++;
}
}
randomFile.seek(start);
long startPoint = randomFile.getFilePointer();
while(startPoint < endPosition-1){
randomAccessFile.write(randomFile.readByte());
startPoint = randomFile.getFilePointer();
}
randomAccessFile.close();
randomFile.close();
tempFile.delete();
System.out.println("文件上傳成功");
}
}
這裏並無校驗任何的文件類型,進行了上傳。java
commons-fileupload類上傳案例:
package com.test;
import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.RandomAccessFile;
import java.util.List;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/FileUploadServlet")
public class domain extends HttpServlet{
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//獲得上傳文件的保存目錄,將上傳的文件存放於WEB-INF目錄下,不容許外界直接訪問,保證上傳文件的安全
String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");
File file = new File(savePath);
if(!file.exists()&&!file.isDirectory()){
System.out.println("目錄或文件不存在!");
file.mkdir();
}
//消息提示
String message = "";
try {
//使用Apache文件上傳組件處理文件上傳步驟:
//一、建立一個DiskFileItemFactory工廠
DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();
//二、建立一個文件上傳解析器
ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);
//解決上傳文件名的中文亂碼
fileUpload.setHeaderEncoding("UTF-8");
//三、判斷提交上來的數據是不是上傳表單的數據
if(!fileUpload.isMultipartContent(request)){
//按照傳統方式獲取數據
return;
}
//四、使用ServletFileUpload解析器解析上傳數據,解析結果返回的是一個List<FileItem>集合,每個FileItem對應一個Form表單的輸入項
List<FileItem> list = fileUpload.parseRequest(request);
for (FileItem item : list) {
//若是fileitem中封裝的是普通輸入項的數據
if(item.isFormField()){
String name = item.getFieldName();
//解決普通輸入項的數據的中文亂碼問題
String value = item.getString("UTF-8");
String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");
System.out.println(name+" "+value);
System.out.println(name+" "+value1);
}else{
//若是fileitem中封裝的是上傳文件,獲得上傳的文件名稱,
String fileName = item.getName();
System.out.println(fileName);
if(fileName==null||fileName.trim().equals("")){
continue;
}
//注意:不一樣的瀏覽器提交的文件名是不同的,有些瀏覽器提交上來的文件名是帶有路徑的,如: c:\a\b\1.txt,而有些只是單純的文件名,如:1.txt
//處理獲取到的上傳文件的文件名的路徑部分,只保留文件名部分
fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);
//獲取item中的上傳文件的輸入流
InputStream is = item.getInputStream();
//建立一個文件輸出流
FileOutputStream fos = new FileOutputStream(savePath+File.separator+fileName);
//建立一個緩衝區
byte buffer[] = new byte[1024];
//判斷輸入流中的數據是否已經讀完的標識
int length = 0;
//循環將輸入流讀入到緩衝區當中,(len=in.read(buffer))>0就表示in裏面還有數據
while((length = is.read(buffer))>0){
//使用FileOutputStream輸出流將緩衝區的數據寫入到指定的目錄(savePath + "\\" + filename)當中
fos.write(buffer, 0, length);
}
//關閉輸入流
is.close();
//關閉輸出流
fos.close();
//刪除處理文件上傳時生成的臨時文件
item.delete();
message = "文件上傳成功";
}
}
} catch (FileUploadException e) {
// TODO Auto-generated catch block
e.printStackTrace();
message = "文件上傳失敗";
}
request.setAttribute("message",message);
request.getRequestDispatcher("/message.jsp").forward(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
}
這裏判斷了文件是否爲空,可是沒有判斷文件的類型。apache
public class UploadHandleServlet1 extends HttpServlet{
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//獲得上傳文件的保存目錄,將上傳的文件存放於WEB-INF目錄下,不容許外界直接訪問,保證上傳文件的安全
String savePath = this.getServletContext().getRealPath("/WEB-INF/upload");
//上傳時生成的臨時文件保存目錄
String tempPath = this.getServletContext().getRealPath("/WEB-INF/temp");
File file = new File(tempPath);
if(!file.exists()&&!file.isDirectory()){
System.out.println("目錄或文件不存在!");
file.mkdir();
}
//消息提示
String message = "";
try {
//使用Apache文件上傳組件處理文件上傳步驟:
//一、建立一個DiskFileItemFactory工廠
DiskFileItemFactory diskFileItemFactory = new DiskFileItemFactory();
//設置工廠的緩衝區的大小,當上傳的文件大小超過緩衝區的大小時,就會生成一個臨時文件存放到指定的臨時目錄當中。
diskFileItemFactory.setSizeThreshold(1024*100);
//設置上傳時生成的臨時文件的保存目錄
diskFileItemFactory.setRepository(file);
//二、建立一個文件上傳解析器
ServletFileUpload fileUpload = new ServletFileUpload(diskFileItemFactory);
//解決上傳文件名的中文亂碼
fileUpload.setHeaderEncoding("UTF-8");
//監聽文件上傳進度
fileUpload.setProgressListener(new ProgressListener(){
public void update(long pBytesRead, long pContentLength, int arg2) {
System.out.println("文件大小爲:" + pContentLength + ",當前已處理:" + pBytesRead);
}
});
//三、判斷提交上來的數據是不是上傳表單的數據
if(!fileUpload.isMultipartContent(request)){
//按照傳統方式獲取數據
return;
}
//設置上傳單個文件的大小的最大值,目前是設置爲1024*1024字節,也就是1MB
fileUpload.setFileSizeMax(1024*1024);
//設置上傳文件總量的最大值,最大值=同時上傳的多個文件的大小的最大值的和,目前設置爲10MB
fileUpload.setSizeMax(1024*1024*10);
//四、使用ServletFileUpload解析器解析上傳數據,解析結果返回的是一個List<FileItem>集合,每個FileItem對應一個Form表單的輸入項
List<FileItem> list = fileUpload.parseRequest(request);
for (FileItem item : list) {
//若是fileitem中封裝的是普通輸入項的數據
if(item.isFormField()){
String name = item.getFieldName();
//解決普通輸入項的數據的中文亂碼問題
String value = item.getString("UTF-8");
String value1 = new String(name.getBytes("iso8859-1"),"UTF-8");
System.out.println(name+" "+value);
System.out.println(name+" "+value1);
}else{
//若是fileitem中封裝的是上傳文件,獲得上傳的文件名稱,
String fileName = item.getName();
System.out.println(fileName);
if(fileName==null||fileName.trim().equals("")){
continue;
}
//注意:不一樣的瀏覽器提交的文件名是不同的,有些瀏覽器提交上來的文件名是帶有路徑的,如: c:\a\b\1.txt,而有些只是單純的文件名,如:1.txt
//處理獲取到的上傳文件的文件名的路徑部分,只保留文件名部分
fileName = fileName.substring(fileName.lastIndexOf(File.separator)+1);
//獲得上傳文件的擴展名
String fileExtName = fileName.substring(fileName.lastIndexOf(".")+1);
if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName)){
request.setAttribute("message", "上傳文件的類型不符合!!!");
request.getRequestDispatcher("/message.jsp").forward(request, response);
return;
}
//若是須要限制上傳的文件類型,那麼能夠經過文件的擴展名來判斷上傳的文件類型是否合法
System.out.println("上傳文件的擴展名爲:"+fileExtName);
//獲取item中的上傳文件的輸入流
InputStream is = item.getInputStream();
//獲得文件保存的名稱
fileName = mkFileName(fileName);
//獲得文件保存的路徑
String savePathStr = mkFilePath(savePath, fileName);
System.out.println("保存路徑爲:"+savePathStr);
//建立一個文件輸出流
FileOutputStream fos = new FileOutputStream(savePathStr+File.separator+fileName);
//建立一個緩衝區
byte buffer[] = new byte[1024];
//判斷輸入流中的數據是否已經讀完的標識
int length = 0;
//循環將輸入流讀入到緩衝區當中,(len=in.read(buffer))>0就表示in裏面還有數據
while((length = is.read(buffer))>0){
//使用FileOutputStream輸出流將緩衝區的數據寫入到指定的目錄(savePath + "\\" + filename)當中
fos.write(buffer, 0, length);
}
//關閉輸入流
is.close();
//關閉輸出流
fos.close();
//刪除處理文件上傳時生成的臨時文件
item.delete();
message = "文件上傳成功";
}
}
} catch (FileUploadBase.FileSizeLimitExceededException e) {
e.printStackTrace();
request.setAttribute("message", "單個文件超出最大值!!!");
request.getRequestDispatcher("/message.jsp").forward(request, response);
return;
}catch (FileUploadBase.SizeLimitExceededException e) {
e.printStackTrace();
request.setAttribute("message", "上傳文件的總的大小超出限制的最大值!!!");
request.getRequestDispatcher("/message.jsp").forward(request, response);
return;
}catch (FileUploadException e) {
// TODO Auto-generated catch block
e.printStackTrace();
message = "文件上傳失敗";
}
request.setAttribute("message",message);
request.getRequestDispatcher("/message.jsp").forward(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doGet(request, response);
}
//生成上傳文件的文件名,文件名以:uuid+"_"+文件的原始名稱
public String mkFileName(String fileName){
return UUID.randomUUID().toString()+"_"+fileName;
}
public String mkFilePath(String savePath,String fileName){
//獲得文件名的hashCode的值,獲得的就是filename這個字符串對象在內存中的地址
int hashcode = fileName.hashCode();
int dir1 = hashcode&0xf;
int dir2 = (hashcode&0xf0)>>4;
//構造新的保存目錄
String dir = savePath + "\\" + dir1 + "\\" + dir2;
//File既能夠表明文件也能夠表明目錄
File file = new File(dir);
if(!file.exists()){
file.mkdirs();
}
return dir;
}
}
這段代碼和上面不一樣的是添加多了一個黑名單,多了一個判斷條件, if("jsp".equals(fileExtName)||"rar".equals(fileExtName)||"tar".equals(fileExtName)||"jar".equals(fileExtName),可是這樣的黑名單仍是能過去繞過的。瀏覽器
主要的審計要是看上傳地方是否是黑名單,若是是黑名單,該怎麼去繞過。若是是白名單,在jdk低版本中也可使用%00截斷。安全
驗證Mime類型文件上傳案例
public class mimetype {
public static String main(String fileUrl) throws IOException {
String type = null;
URL u = new URL(fileUrl);
URLConnection uc = u.openConnection();
type = uc.getContentType();
return type;
}
}
0x01 任意文件讀取dom
任意文件讀取漏洞其實比較簡單,基本上就2種方法,一個是字節輸入流InputStream,一個是FileReader字符輸入流。jsp
InputStream:ide
@WebServlet("/readServlet")
public class readServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String filename = request.getParameter("filename");
File file = new File(filename);
OutputStream outputStream = null;
InputStream inputStream = new FileInputStream(file);
int len;
byte[] bytes = new byte[1024];
while(-1 != (len = inputStream.read())) {
outputStream.write(bytes,0,len);
}
}}
FileReader:ui
@WebServlet("/downServlet")
public class readServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String filename = request.getParameter("filename");
String fileContent = "";
FileReader fileReader = new FileReader(filename);
BufferedReader bufferedReader = new BufferedReader(fileReader);
String line = "";
while (null != (line = bufferedReader.readLine())) {
fileContent += (line + "\n");
}
}
}
這兩種方法除了讀寫方式不同外,其他的都是同樣的。this
0x02 任意文件下載
在前面的ssrf中其實提到了這個文件讀取和下載,可是ssrf中是進行了遠程請求的時候獲取的輸入流,而後進行輸出。而在任意文件讀取或下載中,是直接去使用io流進行讀寫,顯示出來給咱們。
@WebServlet("/downServlet")
public class readServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String filename = request.getParameter("filename");
String fileContent = "";
FileReader fileReader = new FileReader(filename);
response.setHeader("content-disposition", "attachment;fileName=" + filename);
BufferedReader bufferedReader = new BufferedReader(fileReader);
String line = "";
while (null != (line = bufferedReader.readLine())) {
fileContent += (line + "\n");
}
}
}
和前面的文件讀取也差很少,只是多了設置了一個響應體。
0x03 任意文件刪除
@WebServlet("/downServlet")
public class readServlet extends HttpServlet {
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doGet(request, response);
}
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String filename = request.getParameter("filename");
File file = new File(filename);
PrintWriter writer = response.getWriter();
if(file != null && file.exists() && file.delete()) {
writer.println("刪除成功");
} else {
writer.println("刪除失敗");
}
}
}
參考文章
https://www.cnblogs.com/lcngu/p/5471610.html https://xz.aliyun.com/t/6986
0x04 結尾
本文的一些代碼其實比較簡單,可是若是實際中仍是須要注意一些可能產生漏洞的點。
相關文章
- 1. 代碼審計學習之文件操作漏洞
- 2. 漏洞審計
- 3. JAVA代碼審計之XSS漏洞
- 4. JAVA代碼審計之XXE漏洞
- 5. JAVA代碼審計之越權漏洞
- 6. 代碼審計-文件包含漏洞
- 7. VAuditDemo-文件包含漏洞的審計
- 8. php代碼審計之任意文件讀取漏洞
- 9. java代碼審計常見漏洞點
- 10. 代碼審計之_lmxcms1.4漏洞
- 更多相關文章...
- • Java 中操作 R - R 語言教程
- • C# Windows 文件系統的操作 - C#教程
- • 三篇文章瞭解 TiDB 技術內幕 —— 說計算
- • Docker容器實戰(七) - 容器眼光下的文件系統
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 代碼審計學習之文件操作漏洞
- 2. 漏洞審計
- 3. JAVA代碼審計之XSS漏洞
- 4. JAVA代碼審計之XXE漏洞
- 5. JAVA代碼審計之越權漏洞
- 6. 代碼審計-文件包含漏洞
- 7. VAuditDemo-文件包含漏洞的審計
- 8. php代碼審計之任意文件讀取漏洞
- 9. java代碼審計常見漏洞點
- 10. 代碼審計之_lmxcms1.4漏洞