博客围绕示例代码中的服务器漏洞展开。代码使用`os.path.join`拼接路径时虽有防护仍不安全,可利用其特性及`shutil.copy`条件竞争,通过多线程大量快速请求实现条件竞争,使p.tar文件解压在服务器。还介绍了漏洞利用方法及修复方案,如安全拼接路径、创建白名单。
1. 示例代码
2. 漏洞位置
3. 漏洞原理
示例代码中在使用`os.path.join`拼接路径时,对用户输入的参数做了”..”防护,代码依然存在不安全性,可以利用`os.path.join`特性,输入`language_name=/tmp/storage/`路径,使得
src = /tmp/storage/p.tar
dst = /tmp/storage/p.tar
当src==dst 条件为true。dst 已经存在的原因,导致 shutil.copy 函数抛出未处理的异常。在结合`shutil.copy`条件竞争,通过并行的对upload、install、clean,多线程大量且快速请求,实现条件竞争的效果,使服务器验证src存在,dst不存在,从而成功执行 shutil.copy。代码继续向下运行,导致 p.tar 被通过 shutil.unpack_archive 解压缩,从而tar包中的文件,解压在服务器。
4. 漏洞利用
访问页面如下:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
