freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

某小型CMS漏洞复现审计
2024-11-01 22:10:29
所属地 湖南省

SQL注入

漏洞复现:

202411011657448.png

登陆后台,点击页面删除按钮,抓包:

202411011657449.png

rid参数存在sql注入,放入sqlmap检测成功:

202411011657450.png

代码分析:

Ctrl+Shift+F检索路由:

202411011657451.png

定位具体代码,为删除功能:

202411011657452.png

202411011657453.png

发现deleteByIds调用了传参rid,跟进:

202411011657455.png

发现进入Dao层,此处依旧调用的deleteByIds,于是找ICommonDao接口实现类:

202411011657456.png

202411011657457.png

定位到该类,发现以ids参数接受原先用户传入的rid参数,并在new一个sql对象后,直接将ids参数进行拼接,并通过原生jdbc执行返回结果。

模板注入

内容管理-文件管理-themes-flatweb-about.html,选择编辑,插入payload:

<#assignvalue="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

202411011657458.png

访问首页,点击关与我们:

202411011657459.png

执行命令,弹出计算机:

202411011657460.png

代码分析:

配置文件存在freemark

202411011657461.png

文件上传

漏洞复现:

这个CMS感觉上传文件路径不是很好找,所以上传时先找个合适的目录再点击上传文件。

文件管理处点击admin进入目录:

202411011657462.png

再点击文件上传:

202411011657463.png

通过上传jsp马,不过需要以jspx或者jspf后缀绕过上传。

202411011657464.png

代码分析:

上传时抓包,根据路由全局搜索:

202411011657465.png

定位到具体代码段:

202411011657466.png

用filePath参数接受path参数与file参数拼接,再从filePth参数中取出文件名赋值给fname参数。

跟进getSuffix:

202411011657467.png

发现只是以简单点来获取后缀。

检测是否为jsp文件后,如果不为则进入为空判断,并以FileOutputStream与write直接上传写入。

202411011657468.png

202411011657469.png

任意文件删除:

漏洞复现:

上传jsp马后,点击右方删除文件,抓包。

202411011657470.png

将下方数据包改为admin上级目录,删除我先前上传但没找到路径的test.jspx文件,删除成功:

202411011657471.png

代码分析:

根据数据包在IDEA全局搜索,定位到delete代码段:

202411011657472.png

该方法接收三个参数:path、name 和 data,这些参数通过 \@RequestParam注解从请求中提取,并进行简单拼接,赋值给file对象,此时file对象代表实际的文件名称。

跟进delete方法:

202411011657473.png

发现对传入的path参数进行了检查,继续跟进:

202411011657474.png

发现仅仅采用java自带的类java.security.AccessController下的checkPermission(Permissionperm)静态方法校验权限。

如果权限满足便直接通过fs.delete()方法删除,造成任意文件删除漏洞。


# 代码审计 # 漏洞复现 # CMS漏洞
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录