Jboss DeploymentFileRepository 代码执行漏洞

Jboss DeploymentFileRepository 是 Jboss 应用服务器的核心组件之一，在部署和管理应用方面发挥着重要作用。然而，该组件存在代码执行漏洞，攻击者可以利用该漏洞在服务器上执行任意代码，从而造成严重后果。本文将详细阐述此漏洞的原理、危害以及防范措施。

一、漏洞原理

Jboss DeploymentFileRepository 组件中的代码执行漏洞是由于未对用户输入的文件名进行过滤而导致的。攻击者可以构造特殊的文件名，利用该文件名在服务器上执行任意代码。具体来说，攻击者可以利用特殊的文件名来触发 Jboss 应用服务器中的 zip 转储漏洞，从而向服务器上传并执行恶意代码。

攻击者可以通过以下三个步骤来利用该漏洞:

1. 将恶意代码打包成 zip 等压缩格式，构造特殊的文件名，例如：sample.zip............tmpshell.jsp。

public void fileUploaded(final String fileName, final byte[] attachment) throws Exception {
 String location=this.deploymentAddress+"/"+fileName;
 final String tempLocation =tmpDir+"/"+fileName.replaceAll("\.\.","_");
 final File tmpFile =new File(tempLocation);
 if (tmpFile.exists())
    tmpFile.delete();
 tmpFile.getParentFile().mkdirs();      
 FileOutputStream fos=new FileOutputStream(tmpFile);
 try {
    fos.write(attachment);
 } finally {
    fos.close();
 }

在上述代码中，fileName 是用户上传的文件名，attachment 是上传的文件内容。可以看出，该组件中文件上传的主要逻辑是将上传的文件保存至服务器上的临时文件夹中。而在创建临时文件夹时，文件名未经过过滤处理，导致攻击者可以构造包含恶意代码的文件名，并上传到服务器上。

2. 构造目录遍历路径，实现绕过文件上传校验。

public void serveDeployment(final HttpServletResponse result) throws IOException {
    ...
    final String[] fileName =request.getParameterValues("name");
        final String[] path=request.getParameterValues("path");
        String filePath;
        if (path !=null)
            filePath =path[0]+"/"+fileName[0];
        else
            filePath =fileName[0];
    ...
 }

在上述代码中，path 和 name 是用户上传的路径和文件名。可以看出，该组件中用户上传的文件路径未经过过滤处理，导致攻击者可以构造包含目录遍历路径的文件名，并上传到服务器上。

3. 触发 zip 转储漏洞，向服务器上传并执行恶意代码。

public class DeploymentFileRepository extends AbstractJBossServiceMBean implements DeploymentRepository {
    public byte[] getContents(String pack) throws Exception {
      ...
       byte[] data =new byte[(int) file.length()];
      FileInputStream fileInput =new FileInputStream(file);
      try {
         readAvailable(fileInput, data);
      } finally {
         fileInput.close();
      }
      return data;
    }
    private void readAvailable(FileInputStream input, byte[] output) throws IOException {
      int bytesRead =0;
      while (bytesRead < output.length) {
         int count =input.read(output, bytesRead, output.length - bytesRead);
         if (count < 0)
            break;
         bytesRead += count;
      }
    }
 }

上述代码中的 getContents 方法用于获取文件的内容。攻击者可以构造包含特殊路径的文件名，触发 zip 转储漏洞，从而向服务器上传并执行恶意代码。

二、漏洞危害

该漏洞允许攻击者在 Jboss 应用服务器上执行任意代码，从而危及服务器机密信息的保护。攻击者可以通过此漏洞窃取服务器上的敏感数据、篡改网站内容甚至直接控制服务器等。另外，该漏洞还可以作为攻击链中的一环，与其他漏洞组合使用，发起更严重的攻击。

三、漏洞防范

为了防范 Jboss DeploymentFileRepository 组件中的代码执行漏洞，可以采取如下措施:

1. 对用户上传的文件名和路径进行校验和过滤，过滤掉包含非法字符的文件名和路径，避免攻击者构造特殊路径。

2. 限制 Jboss 应用服务器的上传路径，确保上传的文件只能保存在相对较安全的位置之中，避免攻击者上传恶意文件到应用服务器的关键目录中。

3. 及时更新应用服务器和其组件的版本，保持系统的安全性。

4. 定期对服务器进行安全扫描，发现漏洞及时修补。

四、总结

Jboss DeploymentFileRepository 组件中的代码执行漏洞是一种危害极大的安全漏洞，攻击者可以利用该漏洞对应用服务器进行攻击，造成严重的后果。为了避免此类漏洞的发生，我们需要加强对应用服务器的安全防护，以避免攻击者利用漏洞入侵我们的服务器。