开源项目hutool之zip_slip漏洞
今天突然看到了去年写的一篇漏洞分析文章,搬到博客上
----------------
Hutool是Github上的一个开源项目,是一个java的工具包,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。
Github地址:https://github.com/looly/hutool。

本人通过代码卫士对4.1.12之前的版本做了自动化代码审计,发现在对zip文件进行操作的工具类ZipUtil.java中,由于没有对zip文件的条目做过滤导致zip条目覆盖漏洞(zip_slip)。当使用该工具类对恶意攻击者构造的zip文件进行解压时,可以覆盖项目中的任意文件。由于该问题在新版本中已修复,现公布详情如下:
将该项目放入代码卫士审计结果如下,发现在ZipUtil.java文件中存在路径遍历(zip_slip的原理还是利用到了路径遍历)的问题,且严重等级为高。点击进入可以看到缺陷出现的爆发点以及完整的路径等详细信息:

可以看到该方法分别传入三个参数:outFile表示解压到的目录、charset 表示编码格式、zipFile则表示需要解压的zip文件。在第389行处,程序并没有对zipEntry.getName做任何校验就直接用于创建文件,进而导致了zip_slip漏洞。
以下是我的漏洞复现流程:
如下图所示,假设core文件夹里面的password.txt是我们想要覆盖的文件,fileupload文件夹下是恶意zip文件所在地方(可能是通过上传功能或其他方式),而我们想要达到的效果是通过hutool中ZipUtil提供的api对恶意zip文件进行解压时覆盖core中的password.txt文件。
首先需要构造一个恶意的zip文件,由于无法直接在windows中创建这样的非法文件,需要用代码创建,zip文件创建代码如下:

可以看到22行处,将条目设置为“../core/”进行路径穿透。
使用 hutool中ZipUtil提供的api对恶意zip文件进行解压,只需一行代码即可,指定想要解压的zip文件以及解压目录这两个参数即可,这也是hutool的方便之处。

可以看到成功覆盖了core文件夹下的password.txt文件

设置断点进行调试调试,进行解压的核心代码在unzip(File zipFile, File outFile, Charset charset)中,直接进入到该函数中:

可以看到在创建新的文件时文件名是直接使用的zipEntry.getName(),而此时的zipEntry.getName()为“../core/password.txt”,继续F8

此时的outItemFile已经通过路径穿透到达了core文件夹下。
Hutool已经在4.1.12的版本中修复了该漏洞,具体修复细节如下:

添加了一个checkSlip的安全检测方法,方法中检查父完整路径是否为自路径的前半部分,如果不是则说明不是子路径,可能存在slip注入。使用4.1.12版本的Hutool进行测试回报出异常!

9月12号:发现漏洞
9月13号:提交漏洞
9月13号:确认漏洞
9月21号:CVE-2018-17297
开源项目hutool之zip_slip漏洞的更多相关文章
- Github开源项目单
以下涉及到的数据统计与 2019 年 5 月 1 日 12 点,数据来源:https://github.com/trending/java?since=monthly . 下面的内容从 Java 学习 ...
- 开源项目大全 >> ...
http://www.isenhao.com/xueke/jisuanji/kaiyuan.php 监控系统-Nagios 网络流量监测图形分析工具-Cacti 分布式系统监视-zabbix 系统 ...
- JAVA上百实例源码以及开源项目
简介 笔者当初为了学习JAVA,收集了很多经典源码,源码难易程度分为初级.中级.高级等,详情看源码列表,需要的可以直接下载! 这些源码反映了那时那景笔者对未来的盲目,对代码的热情.执着,对IT的憧憬. ...
- GitHub上史上最全的Android开源项目分类汇总 (转)
GitHub上史上最全的Android开源项目分类汇总 标签: github android 开源 | 发表时间:2014-11-23 23:00 | 作者:u013149325 分享到: 出处:ht ...
- [转]C,C++开源项目中的100个Bugs
[转]C,C++开源项目中的100个Bugs http://tonybai.com/2013/04/10/100-bugs-in-c-cpp-opensource-projects/ 俄罗斯OOO P ...
- Python:渗透测试开源项目
Python:渗透测试开源项目[源码值得精读] sql注入工具:sqlmap DNS安全监测:DNSRecon 暴力破解测试工具:patator XSS漏洞利用工具:XSSer Web服务器压力测试工 ...
- 开源巨献:Google最热门60款开源项目
文章整理于互联网.本文收集了 60款 Google 开源的项目,排名顺序按照 Github ★Star 数量排列. 0.机器学习系统 TensorFlow ★Star 62533 TensorFlo ...
- 开源项目Bug悬赏任务
导读 2014 年开源加密库 OpenSSL 项目爆出的高危漏洞 Heartblood 让世人意识到一些鲜为人知的开源项目对整个互联网和其它基础设施的完整性和可靠性至关重要,随后 Linux 基金会发 ...
- 2017 码云最火爆开源项目 TOP 50,你都用过哪些
本文转自:https://share.html5.qq.com/fx/u?r=JdjvzwC 2017 年度码云热门项目排行榜 TOP 50 出炉啦!我们根据所有开源项目在码云的用户关注度.活跃度.访 ...
随机推荐
- linux非root用户安装4.0.14版本redis
先到官网https://redis.io/download下安装包,现在最新是5.0.5版本,可惜点击下载后被windows禁了,那就下4版本的,往下看Other versions的Old(4.0), ...
- python3-sql解析库——sqlparse
1.官方文档 https://sqlparse.readthedocs.io/en/latest/ 2.快速开始 使用pip或者conda安装: conda install sqlparse 使用官网 ...
- DataWorks2.0——DataStudio简单对比使用上手
1.原先的数据管理去哪里了? 悬停在此图标上即可: 2.项目模式有何不同?
- linux6 x86-64 RPM包安装mysql5.7.20
注意版本和此次更新时间 2017-12-03 版本:mysql-5.7.20-1.el6.x86_64 环境:linux6.x 官方下载地址: wget https://dev.mysql.co ...
- oraagent.bin High Memory Usage as Dependent Listener was Removed/Renamed
Grid Infrastructure oraagent.bin process using huge amount of memory and forking huge number of thr ...
- 宣化上人:大佛顶首楞严经四种清净明诲浅释(6-7)(转自学佛网:http://www.xuefo.net/nr/article23/230700.html)
大佛顶首楞严经四种清净明诲浅释(6) 唐天竺·沙门般剌密帝译 宣化上人主讲 一九八三年四月十七日晚讲于万佛圣城 是故阿难!若不断杀修禅定者,譬如有人,自塞其耳,高声大叫,求人不闻,此等名为欲隐弥露.清 ...
- 利用cglib给javabean动态添加属性,不用在建VO
有的时候 比如你用的是hibernate或者Spring jdbc 来做dao层进行数据库相关的操作的时候,若果是单表的操作的时候 还比较简单 hibernate可直接返回(get,load)你的需要 ...
- Cas(05)——修改Cas Server的其它配置
修改Cas Server的其它配置 目录 1.1 修改host.name 1.2 修改SSO Session的超时策略 1.3 修改允许管理service的角色 1.4 ...
- k8s调度器之亲和性和反亲和性/节点选择器
容器在节点(物理机)上是如何部署的 是由调度器scheduler进行调度的 调度策略 随机 通过节点选择器选择某些节点 通过节点亲和性和pod的亲和性及反亲和性实现更细粒度的控制 参考 https:/ ...
- CentOS7为docker-ce配置阿里云镜像加速器
一.找加速地址 https://promotion.aliyun.com/ntms/act/kubernetes.html 控制台 二.添加daemon.json 文件 vim /etc/docker ...