Tomcat文件上传绕过技术详解：基于2025 D3CTF d3jtar题目的分析<\/h1>

环境与源码分析<\/h2>

题目环境<\/h3>
提供一个WAR包，包含三个主要路由：
\/view<\/code>：通过UUID查看上传的文件<\/li>
\/Upload<\/code>：文件上传功能<\/li>
\/Backup<\/code>：使用org.kamranzafar.jtar<\/code>依赖进行TAR压缩\/解压操作<\/li>
<\/ul>
<\/li>
<\/ul>
关键代码分析<\/h3>
上传功能(Upload路由)<\/strong>：<\/p>

使用secureUpload<\/code>方法处理上传<\/li>
黑名单过滤以下扩展名：
"jsp", "jspx", "jspf", "jspa", "jsw", "jsv", "jtml", "jhtml", "sh", "xml", "war", "jar"
<\/code><\/pre>
<\/li>
上传成功后返回UUID格式的文件名<\/li>
<\/ul>
备份功能(Backup路由)<\/strong>：<\/p>

使用org.kamranzafar.jtar<\/code> 2.3版本进行TAR操作<\/li>
包含tar<\/code>和untar<\/code>两个方法：

tar<\/code>：将webapps\/ROOT\/WEB-INF\/views<\/code>目录打包为backup.tar<\/code><\/li>
untar<\/code>：解压TAR文件，未对entry.getName()<\/code>进行安全检测，存在目录穿越风险<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞原理分析<\/h2>
关键发现<\/h3>
漏洞存在于org.kamranzafar.jtar<\/code>库的文件名处理机制中，具体在TarHeader.getNameBytes<\/code>方法：<\/p>


字符编码转换问题<\/strong>：<\/p>

Java中char<\/code>类型使用UTF-16编码（每个字符2字节）<\/li>
当使用(byte)<\/code>强制转换时，会丢弃高8位，只保留低8位<\/li>
中文字符的低8位可能恰好对应黑名单中禁止的字符（如j、s、p）<\/li>
<\/ul>
<\/li>

具体转换过程<\/strong>：<\/p>

例如"你"字：

Unicode编码：U+4F60<\/li>
十进制：20320<\/li>
二进制拆分：

高8位：01001111 (0x4F = 79)<\/li>
低8位：01100000 (0x60 = 96)<\/li>
<\/ul>
<\/li>
强制转换为byte后保留低8位：96 (对应ASCII字符"`")<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

构造恶意文件名<\/strong>：<\/p>

需要找到三个中文字符，其低8位分别对应：

106 ('j')<\/li>
115 ('s')<\/li>
112 ('p')<\/li>
<\/ul>
<\/li>
这样当文件名被处理时，实际扩展名会变为"jsp"<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>


准备恶意文件<\/strong>：<\/p>

创建一个包含JSP木马的文件<\/li>
使用特定中文字符命名文件，如"某某某.jsp"（需精确计算字符）<\/li>
<\/ul>
<\/li>

文件上传<\/strong>：<\/p>

通过\/Upload<\/code>路由上传文件<\/li>
获取服务器返回的UUID<\/li>
<\/ul>
<\/li>

触发文件解压<\/strong>：<\/p>

访问\/Backup<\/code>路由触发解压操作<\/li>
利用目录穿越将文件解压到可执行目录<\/li>
<\/ul>
<\/li>

访问Webshell<\/strong>：<\/p>

通过\/view?page=[UUID]<\/code>访问上传的文件<\/li>
<\/ul>
<\/li>
<\/ol>
防御措施<\/h2>


文件上传安全<\/strong>：<\/p>

使用白名单而非黑名单<\/li>
对上传文件重命名时使用固定扩展名<\/li>
限制上传文件的内容而不仅是扩展名<\/li>
<\/ul>
<\/li>

TAR处理安全<\/strong>：<\/p>

解压前验证文件名，防止目录穿越<\/li>
对解压路径进行规范化处理<\/li>
限制解压后的文件权限<\/li>
<\/ul>
<\/li>

字符编码处理<\/strong>：<\/p>

统一使用UTF-8编码处理文件名<\/li>
对文件名进行严格的合法性检查<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
这个漏洞展示了文件上传安全中容易被忽视的编码转换问题，通过精心构造的中文字符文件名，可以绕过基于黑名单的扩展名检查。关键在于：<\/p>

Java字符编码的强制转换会丢弃高8位<\/li>
中文字符的低8位可能恰好形成被禁止的扩展名<\/li>
TAR处理过程中缺乏对文件名的严格验证<\/li>
<\/ol>
这种类型的漏洞需要开发者对字符编码有深入理解，并在安全处理中考虑各种边界情况。<\/p>