參與的眾測項目��,資產(chǎn)非常難挖掘漏洞��,所以只能通過審計的方式�,找找漏洞點
資產(chǎn)里相對用的多的 oa,都是用友�����,泛微�,致遠(yuǎn)等大型 oa�,對我這種小菜來說�����,直接上手有點難度���,無意間發(fā)現(xiàn)了金和系統(tǒng)�����,就直接來審計學(xué)學(xué),剛開始找網(wǎng)盤資料�,發(fā)現(xiàn)有個 net 版的源碼,結(jié)果目標(biāo)系統(tǒng)是 jsp����,就 G 了。
然后就找朋友要了安裝包�����,對源碼進行分析�����,跟蹤路由,審計漏洞點����。
但是有一點就是sbcp是真他媽惡心,水平越權(quán)�����,只因 id 不易猜測�����,直接駁回��,任意密碼重置�����,通過 id�����,可直接重置密碼�,不需要驗證,也是因為 id 不易猜測。真他媽氣打不一出來
你他馬勒戈壁�����,回答我����,你的安全是誰教的,這他媽不是漏洞嗎��,look in my eyes
路由關(guān)系尋找
開始正題����,第一次審計,所以不太了解路由關(guān)系�,大致看了看代碼結(jié)構(gòu)��,發(fā)現(xiàn)相對簡單點。
整體文件那么多,主要是關(guān)注 WEB-INF/jsp 文件夾�,這是對應(yīng)的視圖文件,也就是訪問 web 頁面的 jsp 文件�����。
我并沒有分析那些需要鑒權(quán)�,那些不需要鑒權(quán)����。
這個網(wǎng)上有個模板注入漏洞��,我是根據(jù)對應(yīng)的二級目錄來找的相關(guān)漏洞點�,后面也是發(fā)現(xiàn)了注入����,但是是Hibernate,構(gòu)造半天沒讀出來數(shù)據(jù)庫名
jc6/platform/portalwb/portalwb-con-template!viewConTemplate.action
然后就是根據(jù)portalwb目錄下的文件去挖掘注入�。
然后再其次就是關(guān)注后臺文件,也就是 lib 下的 jcs-xx.jar文件�,這才是后端代碼。
根據(jù)上面的路徑
jc6/platform/portalwb/portalwb-con-template
就可以知道��,對應(yīng)的 jar 就是 jcs-platform-java-xxxxxx.jar���。
HQL注入
經(jīng)過我不懈的努力����,在 jsp 頁面中�����,找到了一個參數(shù)
那如何在后段代碼,找到對應(yīng)方法呢
很簡單�,例如:
main.action!viewConTemplate.action==main.action?方法名=viewConTemplate
portalweb-datasource.jsp則是前端的文件,后端也會存在對應(yīng)的路由����,然后方法名則是下面的,getTemplateOpt
這里有typeFlag參數(shù)�����,我們跟蹤getAllTemplates方法
直接對應(yīng)了接口名稱�����,往下跟����,就到了數(shù)據(jù)庫層面了
@Override public List<TblPortalwbConTemplete> getAllTemplates(String typeFlag) { String hql = " from TblPortalwbConTemplete t where t.commRecordIdenty= '1' and t.typeFlag like '%" + typeFlag + "%'"; return this.find(hql); }
直接是拼接的 sql 語句
于是就可以構(gòu)造請求方法了
jc6/platform/portalwb/dataSource/portalwb-data-source!getTemplateOpt.action?moduId=1&typeFlag=1
僅限于 or 1=1 也嘗試構(gòu)造數(shù)據(jù)包讀取數(shù)據(jù)庫
SQL 注入
于是放棄對業(yè)務(wù)數(shù)據(jù)的審計,翻了翻下面的 jar 包
jcs-eform-java-1.5.0-SNAPSHOT.jar
clobfield這個接口�,網(wǎng)上有����,也是我審計之后發(fā)現(xiàn)的,不過目標(biāo)系統(tǒng)存在這個接口���,注入點變成了sKeyname
通過req獲取請求參數(shù)����,參數(shù)跟進
clobfield1 存在查詢語句
直接拼接,無過濾
構(gòu)造訪問參數(shù)�,需要滿足key包含readClob
POST /jc6/servlet/clobfield HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length: 91
key=readClob&sImgname=1&sTablename=1&sKeyvalue=1&sKeyname=1
XXE 漏洞
想著,這幾個servlet 有兩三個接口都存在漏洞�����,那么剩下的是不是也存在���。
post方式��,創(chuàng)建SAXReader���,用來讀取xml信息,全程代碼就那么多�����,可見未過濾任何信息
路由訪問,因為繼承HttpServlet����,所以直接拼接訪問
dnslog 嘗試
然后就是讀取windows/win.ini
我感覺那么簡單的漏洞�����,應(yīng)該是被提交了
果不其然
閱讀原文:原文鏈接
該文章在 2025/5/9 9:45:27 編輯過
400 186 1886
