绕过文件上传限制实现客户端路径遍历漏洞利用的技术解析

绕过文件上传限制实现客户端路径遍历漏洞利用

在我之前的博客文章中，我演示了如何利用JSON文件作为客户端路径遍历（CSPT）的小工具来执行跨站请求伪造（CSRF）。那个例子很简单，因为没有强制执行文件上传限制。然而，现实世界的应用程序通常会对文件上传施加限制以确保安全。

在这篇文章中，我们将探讨如何绕过其中一些机制来实现相同的目标。我们将介绍常见的文件验证方法以及如何颠覆这些方法。

约束条件

在大多数场景中，小工具文件将在前端使用JSON.parse进行解析。这意味着我们的文件必须是JSON.parse的有效输入。

如果我们查看V8实现，有效的JSON输入包括：

• 字符串
• 数字
• true
• false
• null
• 数组
• 对象

解析器会跳过起始的空白字符，例如：

• ' '
• '\t'
• '\r'
• '\n'

此外，JSON对象（键或值）中的控制字符和双引号会破坏JSON结构，必须进行转义。

我们的小工具文件必须遵循这些限制才能被解析为JSON。

不同的应用程序使用设计用于检测文件MIME类型、文件结构或魔数字节的库或工具来验证文件。通过创造性地制作满足这些条件的文件，我们可以欺骗这些验证并绕过限制。

让我们探讨如何绕过各种文件上传机制，以维护用于CSPT的有效JSON负载，同时满足文件格式要求，如PDF或图像。

绕过PDF检查以上传JSON文件

许多上传机制中的基本检查涉及验证文件的MIME类型。这通常通过Content-Type头或检查文件本身来完成。然而，通过操纵文件的结构或头信息，通常可以绕过这些检查。

绕过mmmagic验证

mmmagic库通常用于Node.js应用程序中，基于Magic数据库检测文件类型。

可以使用以下代码验证PDF文件：

async function checkMMMagic(binaryFile) {var magic = new Magic(mmm.MAGIC_MIME_TYPE);const detectAsync = (binaryFile) => {return new Promise((resolve, reject) => {magic.detect.call(magic, binaryFile, (error, result) => {if (error) {reject(error);} else {resolve(result);}});});};const result = await detectAsync(binaryFile);const isValid = (result === 'application/pdf')if (!isValid) {throw new Error('mmmagic: File is not a PDF : ' + result);}
}

技术方法：

该库检查%PDF魔数字节。它使用此处定义的Magic检测规则。然而，根据PDF规范，这个魔数字节不需要位于文件的最开头。

我们可以在JSON对象的前1024字节内包装一个PDF头。这将是一个有效的JSON文件，但被该库视为PDF。这使我们能够欺骗库接受上传为有效PDF，同时仍然允许浏览器将其解析为JSON。以下是一个示例：

{ "id" : "../CSPT_PAYLOAD", "%PDF": "1.4" }

只要%PDF头出现在前1024字节内，mmmagic库就会接受此文件作为PDF，但它仍然可以在客户端解析为JSON。

绕过pdflib验证

pdflib库需要的不仅仅是%PDF头。它可用于验证整体PDF结构。

async function checkPdfLib(binaryFile) {let pdfDoc = nulltry {pdfDoc = await PDFDocument.load(binaryFile);} catch (error) {throw new Error('pdflib: Not a valid PDF')}if (pdfDoc.getPageCount() == 0) {throw new Error('pdflib: PDF doesn\'t have a page');}
}

技术方法：

为了绕过这一点，我们可以创建一个有效的PDF（对于pdflib），同时仍然符合CSPT所需的JSON结构。

技巧是将PDF对象定义之间的%0A（换行符）字符替换为空格%20。这允许文件被识别为pdflib的有效PDF，但仍然可以解释为JSON。xref表不需要修复，因为我们的目标不是显示PDF，而是通过上传验证。

以下是一个示例：

{"_id":"../../../../CSPT?","bypass":"%PDF-1.3 1 0 obj <<   /Pages 2 0 R   /Type /Catalog >> endobj 2 0 obj <<   /Count 1   /Kids [     3 0 R   ]   /Type /Pages >> endobj 3 0 obj <<   /Contents 4 0 R   /MediaBox [ 0 0 200 200 ]   /Parent 2 0 R   /Resources <<     /Font << /F1 5 0 R >>   >>   /Type /Page >> endobj 4 0 obj <<   /Length 50 >> stream BT   /F1 10 Tf   20 100 Td   (CSPT) Tj ET endstream endobj 5 0 obj <<   /Type /Font   /Subtype /Type1   /BaseFont /Helvetica >> endobj xref 0 6 0000000000 65535 f 0000000009 00000 n 0000000062 00000 n 0000000133 00000 n 0000000277 00000 n 0000000370 00000 n trailer <<   /Size 6   /Root 1 0 R >> startxref 447 %%EOF "}

虽然此PDF在最近的PDF查看器中不会渲染，但它将被pdflib读取并通过文件上传检查。

绕过file命令验证

在某些环境中，使用file命令或基于file的库来检测文件类型。

async function checkFileCommand(binaryFile) {//Write a temporary fileconst tmpobj = tmp.fileSync();fs.writeSync(tmpobj.fd, binaryFile);fs.closeSync(tmpobj.fd);// Exec file commandoutput = execFileSync('file', ["-b", "--mime-type", tmpobj.name])const isValid = (output.toString() === 'application/pdf\n')if (!isValid) {throw new Error(`content - type: File is not a PDF : ${output}`);}tmpobj.removeCallback();
}

技术方法：

与mmmagic的区别在于，在检查魔数字节之前，它会尝试将文件解析为JSON。如果成功，该文件将被视为JSON，并且不会执行其他检查。因此我们不能使用与mmmagic相同的技巧。然而，file命令对其可以处理的文件大小有已知限制。这是man file命令的摘录。

     -P, --parameter name=valueSet various parameter limits.Name         Default    Explanationbytes        1048576    max number of bytes to read from fileelf_notes    256        max ELF notes processedelf_phnum    2048       max ELF program sections processedelf_shnum    32768      max ELF sections processedencoding     65536      max number of bytes for encoding evaluationindir        50         recursion limit for indirect magicname         60         use count limit for name/use magicregex        8192       length limit for regex searches

我们可以看到读取字节数的限制。我们可以通过用空白字符（如空格或制表符）填充文件直到超过解析限制来利用此限制。一旦达到限制，file_is_json函数将失败，文件将被分类为不同的文件类型（例如PDF）。

例如，我们可以创建这样的文件：

{"_id": "../../../../CSPT?","bypass": "%PDF-1.3 1 0 obj <<   /Pages 2 0 R   /Type /Catalog >> endobj 2 0 obj <<   /Count 1   /Kids [     3 0 R   ]   /Type /Pages >> endobj 3 0 obj <<   /Contents 4 0 R   /MediaBox [ 0 0 200 200 ]   /Parent 2 0 R   /Resources <<     /Font << /F1 5 0 R >>   >>   /Type /Page >> endobj 4 0 obj <<   /Length 50 >> stream BT   /F1 10 Tf   20 100 Td   (CSPT) Tj ET endstream endobj 5 0 obj <<   /Type /Font   /Subtype /Type1   /BaseFont /Helvetica >> endobj xref 0 6 0000000000 65535 f 0000000009 00000 n 0000000062 00000 n 0000000133 00000 n 0000000277 00000 n 0000000370 00000 n trailer <<   /Size 6   /Root 1 0 R >> startxref 447 %%EOF <..大量空格..> "

上传时，file命令将无法解析这个大型JSON结构，导致它回退到正常的文件检测并将文件视为PDF。

使用WEBP格式绕过图像上传的文件类型限制

图像上传通常使用像file-type这样的库来验证文件格式。以下代码尝试确保上传的文件是图像。

const checkFileType = async (binary) => {const { fileTypeFromBuffer } = await fileType();const type = await fileTypeFromBuffer(binary);const result = type.mime;const isValid = result.startsWith('image/');if (!isValid) {throw new Error('file-type: File is not an image : ' + result);}
};

技术方法：

有时，这些库会在预定义的偏移量检查特定的魔数字节。在此示例中，file-type检查魔数字节是否出现在偏移量8处：

https://github.com/sindresorhus/file-type/blob/v19.6.0/core.js#L358C1-L363C1

if (this.checkString('WEBP', {offset: 8})) {return {ext: 'webp',mime: 'image/webp',};
}

由于我们控制起始字节，我们可以构建一个有效的JSON文件。我们可以制作一个JSON对象，将魔数字节（WEBP）放在正确的偏移量处，允许文件通过验证作为图像，同时仍然是有效的JSON对象。以下是一个示例：

{"aaa":"WEBP","_id":"../../../../CSPT?"}

此文件将通过file-type的图像检查，同时仍然包含可用于CSPT的JSON数据。

结论

绕过文件上传限制并不是什么新鲜事，但我们想分享一些过去几年中在实施文件上传限制时上传JSON小工具的方法。我们使用它们来执行CSPT2CSRF或任何其他漏洞利用（XSS等），但它们也可以应用于其他上下文。不要犹豫，深入研究第三方源代码以了解其工作原理。

所有这些示例和文件都已包含在我们的CSPTPlayground中。该游乐场不仅包括CSPT2CSRF，还包括其他示例，如JSONP小工具或开放重定向。这是基于Isira Adithya（@isira_adithya）和Justin Gardner（@Rhynorater）收到的反馈构建的。非常感谢！

更多信息

如果您想了解更多关于我们其他研究的信息，请查看我们的博客，在X（@doyensec）上关注我们，或者随时通过info@doyensec.com与我们联系，以获取有关我们如何帮助您的组织"构建安全"的更多信息。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码