某OA系统任意文件上传漏洞分析与利用

漏洞概述

该漏洞存在于某OA系统中，攻击者能够通过精心构造的文件上传请求实现任意文件上传，进而可能导致远程代码执行。漏洞的核心在于系统对上传文件路径处理不当，允许目录穿越攻击。

漏洞背景

• 系统存在一个专门存储静态文件的/resource目录，该目录不解析文件
• 攻击者需要通过目录穿越技术将文件上传到代码所在的/C6目录下

漏洞定位过程

1. 搜索关键功能：

   • 使用findstr等工具搜索上传相关关键字，如"uploadfile"
   • 发现多个相关功能点，选择Web.Module.dll文件进行分析

2. 反编译分析：

   • 反编译Web.Module.dll文件
   • 查找包含"Save"关键字的上传方法
   • 定位到UploadFileEditorSave类及其Page_Load初始化方法

关键代码分析

文件路径处理流程

1. 参数接收：

   • FileName参数作为文件保存路径存入text变量

2. 路径处理分支：

   if (fileSerName == "") {
       path = UploadFileEditorSave.MapFilePath(text);
   } else {
       path = Upload.MapFilePath(text);
   }
   

   • fileSerName从配置中读取，通常不为空，因此执行Upload.MapFilePath方法

3. 路径处理细节：

   _FilePath = _FilePath.ToLower();
   _FilePath = _FilePath.Replace(Replace("/resou...
   

   • 首先将路径转换为小写
   • 然后进行路径替换操作（原文未完整展示）

漏洞利用思路

1. 目录穿越：

   • 通过构造特殊的FileName参数实现目录穿越
   • 例如使用../../../等路径遍历序列

2. 目标目录：

   • 将恶意文件上传到/C6目录而非/resource目录
   • /C6目录下的文件会被解析执行

漏洞验证方法

1. 构造恶意请求：

   • 拦截正常文件上传请求
   • 修改FileName参数为包含路径遍历序列的值

2. 上传测试文件：

   • 尝试上传测试文件（如txt文件）验证路径穿越是否成功
   • 确认文件是否被保存到预期目录

3. 上传WebShell：

   • 成功验证路径穿越后，上传恶意脚本文件（如ASPX、JSP等）

防御建议

1. 输入验证：

   • 严格校验上传文件名和路径
   • 过滤../等路径遍历序列

2. 权限控制：

   • 限制上传目录为特定非执行目录
   • 设置上传目录不可执行脚本

3. 文件类型检查：

   • 检查文件内容而不仅是扩展名
   • 使用白名单机制限制可上传文件类型

4. 安全配置：

   • 确保服务器配置正确，静态文件目录不解析脚本
   • 定期更新和修补系统组件

总结

该漏洞展示了文件上传功能中常见的路径处理不当问题，通过精心构造的路径参数，攻击者可以绕过预期的文件存储位置，将恶意文件上传到可执行目录。开发人员在实现文件上传功能时应特别注意路径处理逻辑，实施多层防御措施以防止此类漏洞。