WildFireChat应用服务器目录遍历文件上传问题分析

问题概述

WildFireChat是一款开源的即时通讯系统，其应用服务器(app-server)组件在特定环境下存在两个目录遍历文件上传问题。攻击者可以利用这些问题在服务器上上传特定文件，可能导致服务器安全风险。

问题详情

第一个问题：日志文件上传路径处理不当

问题存在于/logs/{userId}/upload接口中。该接口原本设计用于上传用户日志文件，但由于对文件名处理不当，导致路径处理异常。

问题成因分析：

1. 服务器将用户上传的文件名直接拼接到日志存储路径后
2. 未对文件名中的路径处理字符(../)进行过滤或规范化处理
3. 在Windows系统上，不存在的父目录可以被../跳过而不会报错

技术细节：

• 最终文件路径构造方式：日志存储路径 + userId + "_" + 原始文件名
• Windows系统特性使得即使中间路径不存在，../仍能生效
• Linux系统下需要特定条件(日志路径包含带下划线的子目录)才能触发

第二个问题：媒体文件上传路径处理不当

问题存在于/media/upload/{media_type}接口中，该接口用于上传各类媒体文件。

问题特点：

• 需要用户认证后才能触发
• 同样存在路径拼接问题
• Windows系统下更容易触发
• Linux系统下由于不可控的时间戳参数，触发条件更为苛刻

问题影响

受影响版本：

• WildFireChat app-server 0.69及以下版本

潜在风险：

1. 在Windows系统上可上传文件到特定目录
2. 可能将特定脚本写入启动目录
3. 可能覆盖某些系统文件
4. 在Linux系统特定配置下可写入特定文件

问题验证

Windows环境验证

通过构造特殊文件名，可以将文件上传到系统特定目录：

POST /logs/0/upload HTTP/1.1
Host: 127.0.0.1:8888
(...)
------WebKitFormBoundaryZEUKsBAWMUjh6Trb
Content-Disposition: form-data; name="file"; filename="/../../../../../../../../../../Users/Administrator/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/test_file.bat"

REM 测试命令
------WebKitFormBoundaryZEUKsBAWMUjh6Trb--

Linux环境验证

当日志存储路径包含带下划线的子目录时，可尝试写入特定文件：

POST /logs/folder_name_with/upload HTTP/1.1
Host: 172.24.84.79:8888
(...)
------WebKitFormBoundaryxieBnXwF2HJaemAN
Content-Disposition: form-data; name="file"; filename="underline/../../../../../../../../../root/.ssh/test_file"

------WebKitFormBoundaryxieBnXwF2HJaemAN--

修复建议

1. 对上传文件名进行规范化处理，移除路径信息
2. 使用白名单机制限制文件扩展名
3. 将文件存储在非web可访问目录
4. 为上传文件生成随机名称
5. 实施严格的目录权限控制

安全建议

文件上传功能是Web应用常见的安全关注点，开发时应注意：

• 谨慎处理用户提供的文件名
• 对上传文件进行严格的路径和内容检查
• 考虑使用内容安全策略限制上传文件类型
• 定期进行安全审计，特别是文件操作相关代码

WildFireChat团队已在后续版本中修复了这些问题，建议用户及时升级到最新版本。