一次安全测试引发的对Django框架文件上传安全机制的初步分析

0x00. 起因

我司的堡垒机是基于jumpserver 0.3版本进行二次开发,进行了大量的重构和新功能的添加,基本满足了公司安全运维的需求。在对文件上传接口进行安全审计的时候发现,其对上传文件名没有过滤处理,然后直接写入磁盘(部分代码如下)

隐隐觉得可以搞搞任意文件写入漏洞(jumpserver web 控制面板都是以root权限运行,如果可以任意文件写入,危害呵呵,你懂得)。启动burpsuite ,拦截请求,修改文件名(含有目录穿越字符),但是结果没成功,调试发现upload_file.name 已经是../../等目录穿越字符过滤后的结果,有点奇怪,莫非是框架自动帮我过滤掉了,好奇心驱使我必须弄明白其中的原理,于是有了本文。

0x01. 分析过程

切入点就是request.FILES 对象的由来,整个流程涉及到5个模块,如下:

django.core.handlers.wsgi django.http.request django.http.multipartparser django.core.files.uploadhandler django.core.files.uploadedfile

request.FILES 是一个类似于dict的对象,上传文件输入框name属性的值为键名,键值指向处理后的文件对象(框架会调用指定的文件处理器处理),这个文件对象就是django.core.files.uploadedfile 模块中UploadedFile类的实例。详细分析如下:

访问request.FILES 就是访问 django.core.handlers.wsgi 模块中WSGIRequest(继承至django.http.request模块的HttpRequest类)类的FILES属性。

也即访问WSGIRequest._get_files,这个方法会先判断是否已经解析过上传的文件(也即判断是否有_files属性,其实FILES 就是_files,MultiValueDict 类的实例),跟进_load_post_and_files 方法(这是继承至其父类django.http.request模块的HttpRequest类中的方法),如下:

跟进parse_file_upload方法(这里的data为WSGIRequest 的实例),如下:

这里要先说下upload_handlers 成员,如下:

初始化upload_handlers的时候会调用django.core.files.uploadhandler模块的load_handler加载系统默认的文件处理器,如下:

settings.FILE_UPLOAD_HANDLERS

默认就是指的红框中的两个文件处理器,大于2.5M的就用TemporaryFileUploadHandler 处理器,否则用MemoryFileUploadHandler。

初始化文件上传处理器之后,就开始调用django.http.multipartparser 模块的MultiPartParser 类的parse 方法对上传文件进行解析处理,在解析处理过程中,会调用 handle_file_complete 对上传后的文件进行再次处理(处理完成后就返回一个django.core.files.uploadedfile.UploadedFile类的实例, 这个实例对象会被添加到_files 对象中,然后由parse 方法返回此对象, 这个过程就包含文件名被过滤掉的过程),如下:

图中的old_filed_name 即为上一个解析完毕的文件,跟进handle_file_complete ,如下:

跟进文件处理器的file_complete方法, 这个方法返回的就是处理后的文件对象,也就是0x00 图中upload_file 变量指向的文件对象,这里我们以MemoryFileUploadHandler 文件处理器为例进行说明:

也就是说0x00 中的upload_file 也即InMemoryUploadedFile 类的实例,所以调用upload_file.name 即调用InMemoryUploadedFile 的name属性,如下:

调用InMemoryUploadedFile 的name属性,即调用getname方法,在InMemoryUploadedFile 实例话的过程中有name的赋值操作(在其父类__init方法中)如下:

赋值操作就会触发_set_name方法的执行:

在_set_name中就会对上传的文件进行过滤处理,os.path.basename(name)防止了目录穿越漏洞,所以我们在0x00 图中使用uploadfile.name获取到的是经过os.path.basename 处理后的文件名,当然没法任意文件写入了

0x02. 总结

梳理完成之后,终于对Django 文件上传中的安全机制有了一些了解,解决了我的困惑,像Django 这种现代的web框架对传统的安全漏洞(比如XSS,CSRF、文件上传等)都做了比较好的处理,在开发中,这些都是值得我们借鉴和学习的地方。

*本文原创作者:ForrestX386,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-09-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏不想当开发的产品不是好测试

#测试框架推荐# test4j,数据库测试

# 背景 后端都是操作DB的,这块的自动化测试校验的话,是需要数据库操作的,当然可以直接封装方法来操作数据,那么有没有开源框架支持数据操作,让我们关注写sql语...

693120
来自专栏Python专栏

Python | 四种运行其他程序的黑科技

在Python中,可以方便地使用os模块来运行其他脚本或者程序,这样就可以在脚本中直接使用其他脚本或程序提供的功能,而不必再次编写实现该功能的代码。

31120
来自专栏风中追风

java类的加载过程和类加载器的分析

我们知道,我们写的java代码保存的格式是 .java, java文件被编译后会转换为字节码,字节码可以在任何平台通过java虚拟机来运行,这也是java能够跨...

56580
来自专栏python3

python3--进程同步(multiprocess.Lock, Semaphore, Event)

通过之前的学习,实现了程序的异步,让多个任务可以同时在几个进程中并发处理,他们之间的运行没有顺序,一旦开启也不受我们控制。尽管并发编程让我们能更加充分的利用IO...

78930
来自专栏Linux驱动

36.Linux驱动调试-根据oops定位错误代码行

1.当驱动有误时,比如,访问的内存地址是非法的,便会打印一大串的oops出来 1.1以LED驱动为例 将open()函数里的ioremap()屏蔽掉,直接使用物...

32180
来自专栏北京马哥教育

Python imports指南

来源:Python程序员 ID:pythonbuluo 声明:如果你每天写Python,你会发现这篇文章中没有新东西。 这是专为那些像运维人员等偶尔使用Pyt...

26850
来自专栏SDNLAB

OpenDaylight与Mininet应用实战之流表操作

1 实验目的 掌握Open vSwitch下发流表操作; 掌握添加、删除流表命令以及设备通信的原理。 2 实验原理 在SDN环境下,当交换机收到一个数据包并且交...

46490
来自专栏日常学python

python爬虫常用库之urllib详解

这是日常学python的第10篇原创文章 以下为个人在学习过程中做的笔记总结之爬虫常用库urllib urlib库为python3的HTTP内置请求库 uril...

37580
来自专栏土豆专栏

Java面试之基本概念(二)

当两个线程竞争同一资源的时候,如果对资源的访问顺序敏感,就称存在竞态条件。导致竞态条件发生的代码区称作临界区。

24450
来自专栏python学习路

八、线程和进程 什么是线程(thread)?什么是进程(process)? 线程和进程的区别?Python GIL(Global Interpreter Lock)全局解释器锁

什么是线程(thread)? 线程是操作系统能够进行运算调度的最小单位。它被包含在进程之中,是进程中的实际运作单位。一条线程指的是进程中一个单一顺序的控制流,一...

52570

扫码关注云+社区

领取腾讯云代金券