1. 首页
  2. JAVA
  3. JAVA /00文件路径截断漏洞与分析for windows并对.NET比较

JAVA /00文件路径截断漏洞与分析for windows并对.NET比较

java阅读 2820

AUTHOR:kj021320

TEAM: I.S.T.O

JAVA WEB文件上传 是取用户提交的文件名字而不是从random取随机器数字 就值得注意了

跟以前ASP+ADO.STREAM的上传漏洞同理

因为 WINDOWS平台不支持 带有/00字符的文件目录或者文件名字

所以 JAVA虽然与平台无关 但是他底层操作的时候必定是调用平台的API 所以就会难免有些与平台关联的

安全隐患或者漏洞令 JAVA语言开发者不能一一顾及周全 OK 下面是一个简单的代码例子

String filepath="c://kj021320.jsp"+(char)0+".txt";

System.out.println(filepath);

FileOutputStream fos=new FileOutputStream(filepath);

fos.write("hello".getBytes());

fos.close();

byte [] b=new byte[100];

int i=0;

FileInputStream fis=new FileInputStream(filepath);

i=fis.read(b);

out.println(new String(b,0,i));

fis.close();

然后看看有什么输出?

OK 以上都做了代码的测试 下面我们来分析JVM最终调用流程

来从源到内部核心实现

首先 分析FileOutputStream 类构造函数

//这个构造方法调用了 另一个构造函数

public FileOutputStream(String name) throws FileNotFoundException {

this(name != null ? new File(name) : null, false);

}

//以下就是被调用另外构造函数的具体实现

public FileOutputStream(File file, boolean append)throws FileNotFoundException

{

String name = (file != null ? file.getPath() : null);

SecurityManager security = System.getSecurityManager();

if (security != null) {

security.checkWrite(name);//做安全检查 JAVA沙箱里面是否有权限写

}

if (name == null) {

throw new NullPointerException();

}

fd = new FileDescriptor();

this.append = append;

if (append) {

openAppend(name);//调用 openAppend

} else {

open(name); //调用open

}

}

分析完了上面 FileOutputStream类里面的2个构造方法 我们可以继续跟踪进去

看看 open openAppend的实现

private native void open(String name) throws FileNotFoundException;

private native void openAppend(String name) throws FileNotFoundException;

不过很让我们遗憾!两个方法都是本地代码实现~ 到这里就结束了吗?不~ JDK6以前的源代码SUN公司是没有公布的!但是我们可以去下载

OPENJDK http://openjdk.java.net/ 里面的全部源代码估计都 大同小异的!

打开 openjdk源代码 openjdk/j2se/src/windows/native/java/io/FileOutputStream_md.c 目录下面会有

FileOutputStream 这个类的JNI实现

Java_java_io_FileOutputStream_open(JNIEnv *env, jobject this, jstring path) {

fileOpen(env, this, path, fos_fd, O_WRONLY | O_CREAT | O_TRUNC);

}

调用了 fileOpen 继续跟踪进去,这个函数是在io_util_md.c 这个文件里面实现的

void fileOpen(JNIEnv *env, jobject this, jstring path, jfieldID fid, int flags){

jlong h = winFileHandleOpen(env, path, flags);

if (h >= 0) {

SET_FD(this, h, fid);

}

}

看来又调用了 winFileHandleOpen 这个函数 估计里面肯定也是调用WIN32API来创建文件 不用说了,继续

jlong winFileHandleOpen(JNIEnv *env, jstring path, int flags){

const DWORD access =

(flags & O_RDWR) ? (GENERIC_WRITE | GENERIC_READ) :

(flags & O_WRONLY) ? GENERIC_WRITE :

GENERIC_READ;

const DWORD sharing =

FILE_SHARE_READ | FILE_SHARE_WRITE;

const DWORD disposition =

/* Note: O_TRUNC overrides O_CREAT */

(flags & O_TRUNC) ? CREATE_ALWAYS :

(flags & O_CREAT) ? OPEN_ALWAYS :

OPEN_EXISTING;

const DWORD maybeWriteThrough =

(flags & (O_SYNC | O_DSYNC)) ?

FILE_FLAG_WRITE_THROUGH :

FILE_ATTRIBUTE_NORMAL;

const DWORD maybeDeleteOnClose =

(flags & O_TEMPORARY) ?

FILE_FLAG_DELETE_ON_CLOSE :

FILE_ATTRIBUTE_NORMAL;

const DWORD flagsAndAttributes = maybeWriteThrough | maybeDeleteOnClose;

HANDLE h = NULL;

if (onNT) {

WCHAR *pathbuf = pathToNTPath(env, path, JNI_TRUE);

if (pathbuf == NULL) {

/* Exception already pending */

return -1;

}

h = CreateFileW(

pathbuf, /* Wide char path name */

access, /* Read and/or write permission */

sharing, /* File sharing flags */

NULL, /* Security attributes */

disposition, /* creation disposition */

flagsAndAttributes, /* flags and attributes */

NULL);

free(pathbuf);

} else {

WITH_PLATFORM_STRING(env, path, _ps) {

h = CreateFile(_ps, access, sharing, NULL, disposition,

flagsAndAttributes, NULL);

} END_PLATFORM_STRING(env, _ps);

}

if (h == INVALID_HANDLE_VALUE) {

int error = GetLastError();

if (error == ERROR_TOO_MANY_OPEN_FILES) {

JNU_ThrowByName(env, JNU_JAVAIOPKG "IOException",

"Too many open files");

return -1;

}

throwFileNotFoundException(env, path);

return -1;

}

return (jlong) h;

}

//简单看一下以上的代码 最终都是调用 CreateFileW 来创建一个文件

而他采用 pathToNTPath 这个函数来对路径进行转换里面也没有对/00字符过滤导致在windows平台下面这个漏洞

OK 那现在我们来看看.NET的表现! 首先分析他的文件操作类

打开一个 Reflector.exe 反编译器 FileStream的构造函数太多我就不贴出来了 他最终会调用Path类的方法进行验证

internal static void CheckInvalidPathChars(string path)

{

if (-1 != path.IndexOfAny(InternalInvalidPathChars))

{

throw new ArgumentException(Environment.GetResourceString("Argument_InvalidPathChars"));

}

}

以上代码 如果包含了非法字符!会抛出一个异常~

看看 InternalInvalidPathChars 是怎么定义的

InternalInvalidPathChars = new char[] { '"', '<', '>', '|', '/0', '/b', '/x0010', '/x0011', '/x0012', '/x0014', '/x0015', '/x0016', '/x0017', '/x0018', '/x0019' };

呵呵 看来 .NET 在 MS平台上面做得更充分

呵呵! YY一下

WINDOWS:"555~~JAVA你不懂我的心!"

JAVA:"汗~~~......"

.NET:"我的地盘我做主...嘎嘎"

相关推荐

Copyright © 2008-2024渝ICP备2022006305号-5.

本站所有数据收集于网络如有侵犯到您的权益请联系,进行下架处理。