某国产中间件文件上传漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
本漏洞存在于某国产中间件的文件上传功能中，攻击者可以通过构造特殊的压缩包文件，利用目录穿越漏洞将Webshell上传至可访问的Web目录，从而实现远程代码执行。<\/p>

漏洞分析<\/h2>

漏洞触发路径<\/h3>

入口路由<\/strong>：\/xxxx\/application\/deployApp<\/code><\/li>
控制器<\/strong>：ApplicationMgmtController<\/code><\/li>

关键方法<\/strong>：deployApp<\/code><\/li> <\/ol> 处理流程分析<\/h3> 初始化阶段<\/strong>：<\/p> 根据请求参数初始化AASAppDeployModel<\/code>对象<\/li> 获取clientFile<\/code>上传的文件内容，创建临时文件并存储文件名<\/li> <\/ul> <\/li> 部署处理<\/strong>：<\/p> 默认deployInServer<\/code>为false，进入deployAppInClient<\/code>方法<\/li> 最终调用AASAppServerServiceImpl#deployAppInClient<\/code><\/li> <\/ul> <\/li> JMX调用<\/strong>：<\/p> 通过MBeanInvokeUtils.invoke<\/code>调用J2EEDeployer<\/code>的deploy<\/code>方法<\/li> 参数包括上传文件的byte数组和其他配置参数<\/li> <\/ul> <\/li> 文件处理<\/strong>：<\/p> saveArchive<\/code>方法将上传文件保存到本地<\/li> 获取文件路径后调用另一个deploy<\/code>方法<\/li> <\/ul> <\/li> 应用部署<\/strong>：<\/p> 创建J2EEApplication<\/code>对象<\/li> 设置安装目录和扩展目录<\/li> 如果startType<\/code>为null或"auto"，则调用start()<\/code>方法<\/li> <\/ul> <\/li> <\/ol> 漏洞关键点<\/h3> 目录穿越漏洞<\/strong>：<\/p> 在FileUtil#unpackJarFile<\/code>方法中解压文件时未对目录穿越进行防护<\/li> 可以构造包含..\/<\/code>路径的压缩包文件<\/li> <\/ul> <\/li> Web目录定位<\/strong>：<\/p> 解压目录为domains\/deploy\/{appName}\/jarfiles\/{appName}+hex(stamp)<\/code><\/li> 目标Web目录为domains\/applications\/default\/public_html\/<\/code><\/li> <\/ul> <\/li> 文件上传限制<\/strong>：<\/p> 支持上传zip等压缩文件<\/li> 默认判断为EAR类型应用<\/li> <\/ul> <\/li> <\/ol> 漏洞利用<\/h2> 利用条件<\/h3> 能够访问\/xxxx\/application\/deployApp<\/code>接口<\/li> 能够上传zip格式的压缩文件<\/li> <\/ol> 利用步骤<\/h3> 构造恶意压缩包<\/strong>：<\/p> 创建包含Webshell的zip文件<\/li> 使用目录穿越路径（如..\/..\/applications\/default\/public_html\/shell.jsp<\/code>）<\/li> <\/ul> <\/li> 发送恶意请求<\/strong>：<\/p> <\/li> <\/ol> POST<\/span> \/xxxxx\/xxxx\/application\/deployApp HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> [target]<\/span> <\/span><\/span>Content-Type:<\/span> multipart\/form-data; boundary=----WebKitFormBoundaryNotThoE1rFKMKxp5<\/span> <\/span><\/span> <\/span><\/span>------WebKitFormBoundaryNotThoE1rFKMKxp5 <\/span><\/span>Content-Disposition: form-data; name="appName" <\/span><\/span> <\/span><\/span>[任意应用名] <\/span><\/span>------WebKitFormBoundaryNotThoE1rFKMKxp5 <\/span><\/span>Content-Disposition: form-data; name="deployInServer" <\/span><\/span> <\/span><\/span>false <\/span><\/span>------WebKitFormBoundaryNotThoE1rFKMKxp5 <\/span><\/span>Content-Disposition: form-data; name="clientFile"; filename="malicious.zip" <\/span><\/span>Content-Type: application\/x-zip-compressed <\/span><\/span> <\/span><\/span>[恶意zip文件内容] <\/span><\/span>------WebKitFormBoundaryNotThoE1rFKMKxp5 <\/span><\/span>Content-Disposition: form-data; name="archivePath" <\/span><\/span> <\/span><\/span>------WebKitFormBoundaryNotThoE1rFKMKxp5-- <\/span><\/span><\/code><\/pre> 访问Webshell<\/strong>：成功上传后，Webshell将位于domains\/applications\/default\/public_html\/<\/code>目录下<\/li> 通过对应URL访问Webshell<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 输入验证<\/strong>：<\/p> 对上传的压缩包文件进行严格校验<\/li> 过滤包含..\/<\/code>等路径穿越字符的文件名<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 限制上传文件的类型和大小<\/li> 设置文件解压的白名单目录<\/li> <\/ul> <\/li> 代码修复<\/strong>：<\/p> 在FileUtil#unpackJarFile<\/code>方法中添加路径规范化检查<\/li> 对解压路径进行规范化处理，防止目录穿越<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 限制deployApp<\/code>接口的访问权限<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该漏洞利用中间件文件上传功能中的目录穿越缺陷，通过构造特殊压缩包实现任意文件上传。漏洞利用链涉及多个组件和方法调用，最终导致攻击者能够在Web目录下部署恶意文件。修复时应重点关注文件解压过程中的路径处理逻辑。<\/p>

某国产中间件文件上传漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> 本漏洞存在于某国产中间件的文件上传功能中，攻击者可以通过构造特殊的压缩包文件，利用目录穿越漏洞将Webshell上传至可访问的Web目录，从而实现远程代码执行。<\/p>

漏洞分析<\/h2>

漏洞利用<\/h2>

漏洞概述<\/h2>
本漏洞存在于某国产中间件的文件上传功能中，攻击者可以通过构造特殊的压缩包文件，利用目录穿越漏洞将Webshell上传至可访问的Web目录，从而实现远程代码执行。<\/p>