一次安全测试引发的对Django框架文件上传安全机制的初步分析

FB客服

发布于 2018-09-21 12:17:05

9240

发布于 2018-09-21 12:17:05

文章被收录于专栏：FreeBuf

0x00. 起因

我司的堡垒机是基于jumpserver 0.3版本进行二次开发，进行了大量的重构和新功能的添加，基本满足了公司安全运维的需求。在对文件上传接口进行安全审计的时候发现，其对上传文件名没有过滤处理，然后直接写入磁盘（部分代码如下）

隐隐觉得可以搞搞任意文件写入漏洞（jumpserver web 控制面板都是以root权限运行，如果可以任意文件写入，危害呵呵，你懂得）。启动burpsuite ，拦截请求，修改文件名（含有目录穿越字符），但是结果没成功，调试发现upload_file.name 已经是../../等目录穿越字符过滤后的结果，有点奇怪，莫非是框架自动帮我过滤掉了，好奇心驱使我必须弄明白其中的原理，于是有了本文。

0x01. 分析过程

切入点就是request.FILES 对象的由来，整个流程涉及到5个模块，如下：

django.core.handlers.wsgi django.http.request django.http.multipartparser django.core.files.uploadhandler django.core.files.uploadedfile

request.FILES 是一个类似于dict的对象，上传文件输入框name属性的值为键名，键值指向处理后的文件对象（框架会调用指定的文件处理器处理），这个文件对象就是django.core.files.uploadedfile 模块中UploadedFile类的实例。详细分析如下:

访问request.FILES 就是访问 django.core.handlers.wsgi 模块中WSGIRequest（继承至django.http.request模块的HttpRequest类）类的FILES属性。

也即访问WSGIRequest._get_files，这个方法会先判断是否已经解析过上传的文件（也即判断是否有_files属性，其实FILES 就是_files,MultiValueDict 类的实例），跟进_load_post_and_files 方法（这是继承至其父类django.http.request模块的HttpRequest类中的方法），如下：

跟进parse_file_upload方法(这里的data为WSGIRequest 的实例)，如下：

这里要先说下upload_handlers 成员，如下：

初始化upload_handlers的时候会调用django.core.files.uploadhandler模块的load_handler加载系统默认的文件处理器，如下：

settings.FILE_UPLOAD_HANDLERS

默认就是指的红框中的两个文件处理器，大于2.5M的就用TemporaryFileUploadHandler 处理器，否则用MemoryFileUploadHandler。

初始化文件上传处理器之后，就开始调用django.http.multipartparser 模块的MultiPartParser 类的parse 方法对上传文件进行解析处理，在解析处理过程中，会调用 handle_file_complete 对上传后的文件进行再次处理（处理完成后就返回一个django.core.files.uploadedfile.UploadedFile类的实例, 这个实例对象会被添加到_files 对象中，然后由parse 方法返回此对象，这个过程就包含文件名被过滤掉的过程），如下：