[代码审计]jeecg-boot最新权限绕过漏洞分析及新绕过发现

已于 2024-08-01 11:22:32 修改
阅读量3.5k 收藏 7
点赞数 60
文章标签: 安全 web安全 java 代码审计
于 2024-08-01 10:35:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LiangYueSec/article/details/140840776
版权

如果觉得该文章有帮助的,麻烦师傅们可以搜索下微信公众号:良月安全。点个关注,感谢师傅们的支持。

免责声明

本号所发布的所有内容,包括但不限于信息、工具、项目以及文章,均旨在提供学习与研究之用。所有工具安全性自测。如因此产生的一切不良后果与文章作者和本公众号无关。如有涉及公司与个人敏感信息,侵权烦请告知,我们会立即删除并致歉。

前言

起因是看到都在流传/jeecg-boot/jmreport/save?previousPage=xxx&jmLink=YWFhfHxiYmI=这个payload,便想着去看看是咋回事,大概率就是拦截器里面的token验证绕过,jmreport老版本下的很多接口都是未授权访问的,导致之前爆出了不少漏洞,后来加了token验证,查看代码后发现不止一个地方可以进行权限绕过。

代码分析

具体代码逻辑就在JimuReportTokenInterceptor这个类中,下断点进行调试分析,请求之前披露的漏洞路由/jeecg-boot/jmreport/queryFieldBySql。

首先判断是否有xss payload特征。

如果访问的路由是/jmreport/shareView/,直接返回true,放行。

如果访问的路由不是/jmreport/shareView/,则看这个访问的路由有没有JimuNoLoginRequired注解,有的话也直接返回true,放行。

再判断有没有token传入,并验证token的有效性。

这里没有传入正确的token,接着往下走,this.jimuReportShareService.isSharingEffective方法中判断访问的路由在不在getShareUrls方法返回的List中,如果不在直接返回false。

我们访问的路由不在这个list中,继续往下走,就直接判断有没有传入previousPage参数了,没有的话拦截器会返回false,提示“Token校验失败,无权限访问!”。

现在加上previousPage参数进行访问,这里就会调用到this.jimuReportShareService.isShareingToken方法,只要这个方法返回true,拦截器就会返回true,放行了。

这里再加上网传的payload中的参数jmLink=YWFhfHxiYmI=,给var3赋值后,进行2个判断,只要我们传入的token不存在数据库里,并且访问的路由不是以/jmreport/view开头,就会返回true。

根据上述的分析,不难发现,不仅仅是jmLink参数可以造成权限绕过,还有其他两处地方同样也可以造成权限绕过。

漏洞复现

网传的payload,是jmLink参数参数造成的权限绕过。至于其他两处位置就放在星球的分析文章中。

POST /jeecg-boot/jmreport/queryFieldBySql?previousPage=xxx&jmLink=YWFhfHxiYmI=&token=123123 HTTP/1.1
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)
Accept: */*
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive
Content-Type: application/json
Cache-Control: no-cache
Pragma: no-cache
Host: 192.168.131.100:8088
Content-Length: 21

{"sql":"select '1' "}

结语

虽然能实现权限绕过了,但上述的几种权限绕过方式只限于/jmreport下的路由,并且之前爆出来的rce的漏洞,官方也已经进行了修复,有权限访问的情况下也无法用之前的payload进行rce了。

LiangYueSec
关注
  • 60
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 6301
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
jeecg-boot/积木报表系统testConnection接口存在远程命令执行漏洞 附POC
nnn2188185的博客
12-19 1904
JeecgBoot 是一款开源的的低代码开发平台,积木报表是其中的低代码报表组件。
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_50854662的博客
05-24 1713
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
HVV前沿 | 积木报表组件(Jeecg-Boot权限绕过漏洞分析
最新发布
WangsuSecurity的博客
08-27 702
网宿安全演武实验室监测到JeecgBoot JimuReport 1.7.8版本及之前版本存在安全漏洞(网宿评分:高危)
jeect-boot RCE漏洞(CVE-2023-4450)
zneVue
07-17 1344
JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。当前漏洞在 1.6.1 以下的 Jimureport 组件库中都存在,由于未授权的 API`/jmreport/queryFieldBySql`使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 1897
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 4956
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 1548
JEECG-BOOT存在SQL注入漏洞[附POC]
Goby漏洞 jeecg-boot 未授权SQL注入漏洞(CVE-2024-1454)
2401_84247760的博客
04-12 919
感兴趣的人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
word源码java-jeecg-boot-activiti-pro:jeecg-boot-activiti-pro
06-05
引领的低代码开发模式(OnlineCoding-> 代码生成器-> 手工MERGE), 帮助解决Java项目70%的重复工作,让开发更多关注业务。既能快速提高效率,节省研发成本,同时又不失灵活性! JeecgBoot 提供了一系列低代码模块,...
jeecgboot集成jeecg-boot-activiti1
08-03
- **POM.xml添加模块依赖**:在根目录的`pom.xml`中添加的模块依赖,将`jeecg-boot-module-activiti`加入到`modules`列表。 - **系统依赖**:在`jeecg-boot-module-system/pom.xml`中添加Activiti的依赖。 - **...
JEECG-BOOT 企业级快速平台产品介绍PPT-20200327_jeecg-boot_jeecg_
10-02
- **代码自动化生成**:Jeecg-Boot 提供了强大的代码生成器,能够自动生成基于MyBatis Plus的后台代码,以及Vue.js的前端代码,大大减少了手动编写基础代码的工作量。 - **前后端分离**:采用前后端分离的设计模式...
jeecg-boot 集成Activiti6 后端Java 模块代码
10-26
在压缩包文件`tcore-boot-module-activiti`中,可能包含了Jeecg-boot项目集成Activiti6的具体实现代码,包括流程定义文件、配置文件、Java服务类、接口及前端页面等。通过阅读和学习这些代码,你可以更深入地理解...
jeecg-boot 集成Activiti6 页面
10-26
jeecg-boot 前后分离 集成Activiti6 页面
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 1877
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
Goby漏洞 | jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
m0_46699477的博客
03-24 1970
jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
Jeecg-boot JDBC任意代码执行漏洞
murphysec的博客
08-13 2360
JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
jeecg-boot自动生成代码_JEECG BOOT 代码生成使用教程
05-18
Jeecg-boot是一款基于Spring Boot和代码生成器的开源快速开发平台,可快速生成前后端代码,提供了丰富的模板和插件,支持多种数据库和项目类型。 以下是Jeecg-boot代码生成器的使用教程: 1. 首先,需要下载Jeecg-boot的代码生成器,可以从GitHub上下载最新版本的代码生成器。 2. 解压缩下载的代码生成器,进入jeecg-boot/jeecg-boot-module-generator目录。 3. 修改jeecg-boot/jeecg-boot-module-generator/src/main/resources/generator.properties文件,配置数据库连接信息、表名等参数。 4. 运行jeecg-boot/jeecg-boot-module-generator/src/main/java/org/jeecg/modules/codegen/CodeGenerator.java文件,即可自动生成代码。 5. 生成的代码位于jeecg-boot/jeecg-boot-module-generator/target/jeecg-boot-module-generator-1.0-SNAPSHOT.zip文件中,解压缩后即可看到生成的代码。 以上就是使用Jeecg-boot代码生成器生成代码的基本步骤,如果需要更多详细的信息,可以查看Jeecg-boot官方文档。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值