Flask send_file函数导致的绝对路径遍历

漏洞 合天网安实验室
2022-07-19 7,341

平时接触到的 python 项目并不多,对 python 的代码审计更是没有接触,偶然朋友发来了一个漏洞 Flask send_file函数导致的绝对路径遍历 ,感觉打开了新世界的大门,于是就以一个初学者的角度,进行复现分析一下。详情也可以根据 Python : Flask Path Traversal Vulnerability 进行分析学习

send_file 的妙用
 在以 flask 框架开发的系统中,为了直接实现用户访问某一个 URL 时就可以下载到文件,我们就使用 send_file 来实现
from flask import Flaskfrom flask import send_file
app = Flask(__name__)

@app.route('/download')def downloadFile():    path = "test.txt"    return send_file(path)

if __name__ == '__main__':    app.run()

 

我们看到 如此运行的效果是直接返回了文件的内容,浏览器并没有识别成一个文件下载下来。
要想让浏览器识别成为文件下载的话,只需要加上as_attachment=True
from flask import Flaskfrom flask import send_file
app = Flask(__name__)

@app.route('/download')def downloadFile():    path ="test.txt"    return send_file(path, as_attachment=True)

if__name__=='__main__':    app.run()

 

 

 当下载的文件名是中文时

from flask import Flaskfrom flask import send_file
app = Flask(__name__)

@app.route('/download')def downloadFile():    path ="测试.txt"    return send_file(path, as_attachment=True)

if__name__=='__main__':    app.run()


 

 

 

Content-Disposition:
 Content-Disposition
 在常规的 HTTP 应答中,Content-Disposition 响应头指示回复的内容该以何种形式展示,是以内联的形式(即网页或者页面的一部分),还是以附件的形式下载并保存到本地。其可以是inline(默认值,所以可以不指定)或者是attachment,attachment表示附件,浏览器看到这个值一般会弹出一个保持文件的确认框,或者像chrome直接下载。

 

 

 

漏洞分析
 漏洞的触发是在 send_file 中,我们跟进看一下
 flask.helpers.send_file

 

 继续跟进查看
 werkzeug.utils.send_file

 

 我们在本地构造一个简单的语句进行尝试

>>>import os.path
>>> _root_path ="path/to/mySafeStaticDir"
>>> path_or_file ="/../../../../../../../etc/passwd"
>>> os.path.join(_root_path,path_or_file)
'/../../../../../../../etc/passwd'


 

 我们发现 os.path.join 使用不受信任的输入调用时不安全的。当 os.path.join 调用遇到绝对路径时,它会忽略在该点之前遇到的所有参数并开始使用新的绝对路径。当参数可控时,我们控制恶意参数输入绝对路径,os.path.join 会完全忽略静态目录。所以,当 os.path.join 来获取来自 flask.send_file 的不受信任的输入时,可能会目录遍历攻击。
漏洞复现
 我们在本地构造简单的代码进行测试,获取从外部传入的参数 filename
from flask import Flask, requestfrom flask import send_file
app = Flask(__name__)

@app.route('/download')def downloadFile():    filename = request.args.get('filename')    return send_file(filename, as_attachment=True)
if__name__=='__main__':    app.run()


 通过控制 filename 为绝对路径,就实现了目录穿越漏洞

 

 

 

 

总结反思
这个漏洞非常的有趣,漏洞的修复是可以使用flask.safe_join加入不受信任的路径或用flask.send_file调用替换flask.send_from_directory调用。
这个漏洞虽然很简单,但是在 github 上很多用 python 开发的项目都用了这个函数,如果不加以修复,会造成很大的危害。

本文作者:合天网安实验室

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/183820.html

Tags:
点赞: 1 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

合天网安实验室
文章数:342 积分: 877

www.hetianlab.com,网络安全靶场练习平台,涉及CTF赛前指导、职业技能训练、网安专项技能提升等。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼