JAVA /00文件路径截断漏洞与分析for windows并对.NET比较

AUTHOR:kj021320
TEAM: I.S.T.O

JAVA WEB文件上传 是取用户提交的文件名字而不是从random取随机器数字 就值得注意了
跟以前ASP+ADO.STREAM的上传漏洞同理
因为 WINDOWS平台不支持 带有/00字符的文件目录或者文件名字
所以 JAVA虽然与平台无关 但是他底层操作的时候必定是调用平台的API 所以就会难免有些与平台关联的
安全隐患或者漏洞令 JAVA语言开发者不能一一顾及周全 OK 下面是一个简单的代码例子

String filepath="c://kj021320.jsp"+(char)0+".txt";
System.out.println(filepath);
FileOutputStream fos=new FileOutputStream(filepath);
fos.write("hello".getBytes());
fos.close();
byte [] b=new byte[100];
int i=0;
FileInputStream fis=new FileInputStream(filepath);
i=fis.read(b);
out.println(new String(b,0,i));
fis.close();

然后看看有什么输出？

OK 以上都做了代码的测试 下面我们来分析JVM最终调用流程
来从源到内部核心实现
首先 分析FileOutputStream 类构造函数
//这个构造方法调用了 另一个构造函数
public FileOutputStream(String name) throws FileNotFoundException {
this(name != null ? new File(name) : null, false);
}
//以下就是被调用另外构造函数的具体实现
public FileOutputStream(File file, boolean append)throws FileNotFoundException
{
String name = (file != null ? file.getPath() : null);
SecurityManager security = System.getSecurityManager();
if (security != null) {
    security.checkWrite(name);//做安全检查 JAVA沙箱里面是否有权限写
}
if (name == null) {
    throw new NullPointerException();
}
fd = new FileDescriptor();
this.append = append;
if (append) {
    openAppend(name);//调用 openAppend
} else {
    open(name); //调用open
}
}

分析完了上面 FileOutputStream类里面的2个构造方法 我们可以继续跟踪进去
看看 open openAppend的实现

private native void open(String name) throws FileNotFoundException;
private native void openAppend(String name) throws FileNotFoundException;
不过很让我们遗憾！两个方法都是本地代码实现~ 到这里就结束了吗？不~  JDK6以前的源代码SUN公司是没有公布的！但是我们可以去下载
OPENJDK http://openjdk.java.net/ 里面的全部源代码估计都 大同小异的！
打开 openjdk源代码 openjdk/j2se/src/windows/native/java/io/FileOutputStream_md.c 目录下面会有
FileOutputStream 这个类的JNI实现
Java_java_io_FileOutputStream_open(JNIEnv *env, jobject this, jstring path) {
    fileOpen(env, this, path, fos_fd, O_WRONLY | O_CREAT | O_TRUNC);
}
调用了 fileOpen 继续跟踪进去,这个函数是在io_util_md.c 这个文件里面实现的
void fileOpen(JNIEnv *env, jobject this, jstring path, jfieldID fid, int flags){
    jlong h = winFileHandleOpen(env, path, flags);
    if (h >= 0) {
        SET_FD(this, h, fid);
    }
}
看来又调用了 winFileHandleOpen 这个函数 估计里面肯定也是调用WIN32API来创建文件 不用说了,继续

jlong winFileHandleOpen(JNIEnv *env, jstring path, int flags){
    const DWORD access =
 (flags & O_RDWR)   ? (GENERIC_WRITE | GENERIC_READ) :
 (flags & O_WRONLY) ?  GENERIC_WRITE :
 GENERIC_READ;
    const DWORD sharing =
 FILE_SHARE_READ | FILE_SHARE_WRITE;
    const DWORD disposition =
 /* Note: O_TRUNC overrides O_CREAT */
 (flags & O_TRUNC) ? CREATE_ALWAYS :
 (flags & O_CREAT) ? OPEN_ALWAYS   :
 OPEN_EXISTING;
    const DWORD  maybeWriteThrough =
 (flags & (O_SYNC | O_DSYNC)) ?
 FILE_FLAG_WRITE_THROUGH :
 FILE_ATTRIBUTE_NORMAL;
    const DWORD maybeDeleteOnClose =
        (flags & O_TEMPORARY) ?
        FILE_FLAG_DELETE_ON_CLOSE :
        FILE_ATTRIBUTE_NORMAL;
    const DWORD flagsAndAttributes = maybeWriteThrough | maybeDeleteOnClose;
    HANDLE h = NULL;

    if (onNT) {
        WCHAR *pathbuf = pathToNTPath(env, path, JNI_TRUE);
        if (pathbuf == NULL) {
            /* Exception already pending */
            return -1;
        }
        h = CreateFileW(
            pathbuf,  /* Wide char path name */
            access,  /* Read and/or write permission */
            sharing,  /* File sharing flags */
            NULL,  /* Security attributes */
            disposition,        /* creation disposition */
            flagsAndAttributes, /* flags and attributes */
            NULL);
        free(pathbuf);
    } else {
        WITH_PLATFORM_STRING(env, path, _ps) {
            h = CreateFile(_ps, access, sharing, NULL, disposition,
                           flagsAndAttributes, NULL);
        } END_PLATFORM_STRING(env, _ps);
    }
    if (h == INVALID_HANDLE_VALUE) {
        int error = GetLastError();
        if (error == ERROR_TOO_MANY_OPEN_FILES) {
            JNU_ThrowByName(env, JNU_JAVAIOPKG "IOException",
                            "Too many open files");
            return -1;
        }
        throwFileNotFoundException(env, path);
        return -1;
    }
    return (jlong) h;
}
//简单看一下以上的代码 最终都是调用 CreateFileW 来创建一个文件
而他采用 pathToNTPath 这个函数来对路径进行转换里面也没有对/00字符过滤导致在windows平台下面这个漏洞

OK 那现在我们来看看.NET的表现！ 首先分析他的文件操作类
打开一个 Reflector.exe 反编译器 FileStream的构造函数太多我就不贴出来了 他最终会调用Path类的方法进行验证
internal static void CheckInvalidPathChars(string path)
{
    if (-1 != path.IndexOfAny(InternalInvalidPathChars))
    {
        throw new ArgumentException(Environment.GetResourceString("Argument_InvalidPathChars"));
    }
}
以上代码 如果包含了非法字符！会抛出一个异常~
看看 InternalInvalidPathChars 是怎么定义的
InternalInvalidPathChars = new char[] { '"', '<', '>', '|', '/0', '/b', '/x0010', '/x0011', '/x0012', '/x0014', '/x0015', '/x0016', '/x0017', '/x0018', '/x0019' };
呵呵 看来 .NET 在 MS平台上面做得更充分

呵呵！ YY一下
WINDOWS:"555~~JAVA你不懂我的心！"
JAVA:"汗~~~......"
.NET:"我的地盘我做主...嘎嘎"