JAVA代码审计-jsherpcms_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

JAVA代码审计-jsherpcms

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


JAVA代码审计-jsherpcms

原文首发在:奇安信攻防社 https://forum.butian.net/share/2555 环境搭建 源码:https://github.com/jishenghua/jshERP/releases/tag/2.3 下载之后用idea导入 导入数据库文件 然后修改配置文件 然后启动 测试用户:jsh,密码:123456 sql注入 因为是审计 在加上该cms用的是mybatis 那当然是sql注入最容易审了 因为mybatis的$ # 号的区别 一个拼接一个预编译 具体区别可自行百度 直接全局搜索${ 寻找拼接sql的地方 在这里发现一个在like后面进行拼接sql的 然后全局搜索countsByUser这个 发现在UserService里面的countUser函数调用了这个sql 然后全局找UserService调用countUser的地方 未授权 查看filter文件 .css#.js#.jpg#.png#.gif#.ico,/user/login#/user/registerUser#/v2/api-docs资源请求不拦截 继续往下看 因为是通过getRequestURI();来获取的 在看55行 只要包含这几个路径就放行 那么可以通过../来进行绕过 测试 没登录的情况下 访问home会302跳转 成功绕过 下面对于静态资源的校验也是一样的 跟进这个函数 返回true 也是成功绕过 后续其他接口啥的该方式都可对鉴权进行绕过 未授权对接口进行操作 比如 存储xss 这个点是结合黑盒一起看的 先演示 修改备注 然后保存会发现直接弹xss了 然后每次点进来也会弹 分析 首先抓到保存的时候的包 从数据包也可以看到前端也是没有过滤的 然后根据数据包路由找到代码 找到controller层 然后跟进分析 可以看到获取到body参数的row 然后直接调用depotHeadService.updateDepotHeadAndDetail函数 继续跟进 因为从数据包里面看到xss语句是在row里面 直接看row传的地方 继续跟进函数 从数据包里面可以看到xss payload是在remark参数里面 继续找 一直跟到这里 最后来到这里 然后前面没有看到过滤的操作 继续跟进 就直接调用mapper执行数据库插入了 没有进行过滤 打断点 调试到这里也可以看到 这是存入的时候没有过滤 下面看输出的时候 点击编辑的时候会抓到这个包 根据路由全局找到代码 根据headerId来进行查询数据 查到数据也是直接返回 没有过滤 然后返回给前端 返回的json格式 然后来到前端页面 因为返回的是json格式前端肯定是发出ajax请求来获取数据的 直接来到页面搜索api:/depotItem/getDetailList 拿到数据后是通过datagrid来渲染的 也就没有过滤 所以造成了xss datagrid可以自行百度一下 也就是说 其他地方也都是这种 存在存储xss 不止这一个页面 越权 进入账号用户管理 然后编辑用户 重置密码 可以看到这里有一个id 然后根据路由来到代码的地方 在这里就校验了重置的账号是不是admin 没有其他鉴权操作 也就是说可以直接重置admin开外的所有账户 测试 登录test3 抓到cookie 替换到刚才的包 test2 id为135 这里越权重置密码之后 可以越权修改 越权2 越权修改密码 在第一个越权重置之后 修改密码的地方同样也可以越权 同样也没有什么鉴权 比对了一下旧密码 但因为之前已经重置 所以 也可以修改 像什么删除这些也是同样可以的 接口泄露 这个是直接能够访问的 通过接口泄露 也就可以知道前面越权的api接口 3.1新版都已修复 如sql注入 ${ 改成了#{ #{} : 对读取到的参数先使用?来占位,然后去预编译SQL,最后再将?替换为形参值。 ${} : 直接替换读取到的形参值,没有预编译的过程。 接口泄露的url也没了 其他也都类似 文章来源:亿人安全 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END

JAVA代码审计-jsherpcms