HVV前沿 | 积木报表组件(Jeecg-Boot)权限绕过漏洞分析

于 2024-08-27 18:53:33 发布
阅读量698 收藏 24
点赞数 13
文章标签: 网络安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WangsuSecurity/article/details/141610099
版权

漏洞概述

JeecgBoot是适用于企业 Web 应用程序的国产Java低代码平台。

近期,网宿安全演武实验室监测到JeecgBoot JimuReport 1.7.8版本及之前版本存在安全漏洞(网宿评分:高危):该漏洞源于权限设置不安全,攻击者在请求中添加特定参数,即可绕过授权机制,从而查看敏感信息并通过 Aviator 表达式注入在1.6.0版本后实现远程代码执行。

目前该漏洞POC状态已在互联网公开,建议用户尽快做好自查及防护。

受影响版本

JimuReport <= 1.7.8

漏洞分析

首先看权限绕过问题的成因,以历史漏洞接口/jeecg-boot/jmreport/queryFieldBySql为例。

显然这里已经做了权限限制,而/jeecg-boot/jmreport/**具体的拦截器实现在

org.jeecg.modules.jmreport.config.firewall.interceptor.JimuReportTokenInterceptor#preHandle()。

这是一个返回值为boolean类型的public方法,主要对用户请求进行了一些预处理和判断,那么只要在校验token前使其返回true,即可实现权限绕过。

当我们请求/jeecg-boot/jmreport/queryFieldBySql时,该方法先进行了xss检测。

String var4 = d.i(request.getRequestURI().substring(request.getContextPath().length()));
log.debug("JimuReportInterceptor check requestPath = " + var4);
int var5 = 500;
if (n.a(var4)) {
    log.error("请注意,请求地址有xss攻击风险!" + var4);
    this.backError(response, "请求地址有xss攻击风险!", var5);
    return false;
}

public class n {
    private static final String[] a = new String[]{"<", "%3C", ">", "%3E", "\\(", "%28", "\\)", "%29", "'", "eval\\((.*)\\)"};
    private static Pattern[] b = new Pattern[]{Pattern.compile("<script>(.*?)</script>", 2), Pattern.compile("src[\r\n]*=[\r\n]*\\'(.*?)\\'", 42), Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", 42), Pattern.compile("</script>", 2), Pattern.compile("<script(.*?)>", 42), Pattern.compile("eval\\((.*?)\\)", 42), Pattern.compile("e\u00adxpression\\((.*?)\\)", 42), Pattern.compile("javascript:", 2), Pattern.compile("vbscript:", 2), Pattern.compile("onload(.*?)=", 42)};

    ...

    private static boolean a(String var0, Pattern var1) {
        Matcher var2 = var1.matcher(var0);
        return var2.find();
    }

    ...
}

并且对/jmreport/shareView/和JimuNoLoginRequired注解的路由直接放行。

if (var4.contains("/jmreport/shareView/")) {
    return true;
}

JimuNoLoginRequired var9 = (JimuNoLoginRequired)var8.getAnnotation(JimuNoLoginRequired.class);
if (j.d(var9)) {
    return true;
}

接着通过jwt验证用户传入token的合法性。

try {
    var10 = this.verifyToken(request);
} catch (Exception var14) {
}

public static boolean verifyToken(String token, CommonAPI commonApi, RedisUtil redisUtil) {
    if (StringUtils.isBlank(token)) {
        throw new JeecgBoot401Exception("token不能为空!");
    }

    // 解密获得username,用于和数据库进行对比
    String username = JwtUtil.getUsername(token);
    if (username == null) {
        throw new JeecgBoot401Exception("token非法无效!");
    }

    // 查询用户信息
    LoginUser user = TokenUtils.getLoginUser(username, commonApi, redisUtil);
    //LoginUser user = commonApi.getUserByName(username);
    if (user == null) {
        throw new JeecgBoot401Exception("用户不存在!");
    }
    // 判断用户状态
    if (user.getStatus() != 1) {
        throw new JeecgBoot401Exception("账号已被锁定,请联系管理员!");
    }
    // 校验token是否超时失效 & 或者账号密码是否错误
    if (!jwtTokenRefresh(token, username, user.getPassword(), redisUtil)) {
        throw new JeecgBoot401Exception(CommonConstant.TOKEN_IS_INVALID_MSG);
    }
    return true;
}

显然攻击者未持有合法token,继续往下走发现如果访问的路由在白名单内即放行。

if (!var10) {
    if (this.jimuReportShareService.isSharingEffective(var4, request)) {
        return true;
    } else {
        ...
    }
}

GET_QUERY_INFO("/jmreport/getQueryInfo"),
SHARE_VERIFICATION("/jmreport/share/verification"),
ADD_VIEW_COUNT("/jmreport/addViewCount/"),
SHOW_DATA("/jmreport/show"),
EXPORT_PDF_STREAM("/jmreport/exportPdfStream"),
EXPORT_ALL_EXCEL_STREAM("/jmreport/exportAllExcelStream"),
CHECK_PARAM("/jmreport/checkParam/"),
QUERYMAP_BY_CODE("/jmreport/map/queryMapByCode"),
QUREST_SQL("/jmreport/qurestSql"),
QUREST_API("/jmreport/qurestApi"),
GET_CHAR_DATA("/jmreport/getCharData");

但/jeecg-boot/jmreport/queryFieldBySql未在其中,与此同时我们发现接下来的else分支存在突破点,只要用户在请求中携带previousPage参数,且使isShareingToken方法返回true,即可成功绕过拦截器。

else {
    String var16 = request.getParameter("previousPage");
    if (j.d(var16)) {
        if (this.jimuReportShareService.isShareingToken(var4, request)) {
            return true;
        }
    ...
}

步入isShareingToken方法。

public boolean isShareingToken(String requestPath, HttpServletRequest request) {
    String var3 = request.getHeader("JmReport-Share-Token");
    String var4 = "";
    if (j.c(var3)) {
        var3 = request.getParameter("shareToken");
    }

    String var5 = request.getParameter("jmLink");
    if (j.d(var5)) {
        try {
            byte[] var6 = Base64Utils.decodeFromString(var5);
            String var7 = new String(var6);
            String[] var8 = var7.split("\\|\\|");
            if (ArrayUtils.isNotEmpty(var8) && var8.length == 2) {
                var3 = var8[0];
                var4 = var8[1];
            }
        } catch (IllegalArgumentException var9) {
            a.error("解密失败:" + var9.getMessage());
            a.error(var9.getMessage(), var9);
            return false;
        }
    }

    if (j.c(var3)) {
        return false;
    } else {
        JimuReportShare var10 = this.jimuReportShareDao.getShareByShareToken(var3);
        if (var10 != null) {
            var10 = this.compareToDate(var10);
            if (!"0".equals(var10.getStatus())) {
                return false;
            }
        }

        if (requestPath.startsWith("/jmreport/view")) {
            if (!j.d(var4)) {
                return false;
            }

            Long var11 = this.jimuReportLinkDao.selectLinkCountByLinkId(var4);
            if (null != var11 && var11 > 0L) {
                return true;
            }
        }

        return true;
    }
}

不难发现其先提取解码后的jmLink参数值赋给var3、var4,并交由getShareByShareToken判断share_token有效性,但显然攻击者传入的值,在数据库中是查不到对应的 JimuReportShare 对象的,即var10为null。

@Sql("select status,share_token,last_update_time,term_of_validity from jimu_report_share where share_token = :shareToken")
JimuReportShare getShareByShareToken(@Param("shareToken") String var1);

而这里之后又辨别了路由是否以/jmreport/view开头,如果不是则返回true,显然我们请求的路由不包括在内。

所以实际环境验证成功。

接着根据漏洞情报(https://github.com/jeecgboot/JimuReport/issues/2848),可定位至/jeecg-boot/jmreport/save和/jeecg-boot/jmreport/show两个接口。

对应函数分别为:

org.jeecg.modules.jmreport.desreport.service.a.e#saveReport()
org.jeecg.modules.jmreport.desreport.service.a.e#show()

前者的作用是将用户的报表数据保存至数据库,后者则是通过前面传入的id提取数据。

@GetMapping({"/show"})
public Result<?> a(@RequestParam(name = "id") String var1, HttpServletRequest var2) {
    a.info("--------进入show方法-----------, id = " + var1);
    String var3 = var2.getParameter("params");

    try {
        return this.jmReportDesignService.show(var1, var3, (List)null);
    } catch (Exception var5) {
        a.error(var5.getMessage(), var5);
        return Result.error(var5.getMessage());
    }
}

至于漏洞字段,则位于org.jeecg.modules.jmreport.desreport.express.a#c(),这里限制了传入格式,即只解析”text”字段中,通过=()包含的值。

String var9 = var8.getString("text");
if (var9 != null && !var9.isEmpty()) {
    var9 = var9.trim();
    Pattern var10 = Pattern.compile("^([^=]*)(=[A-Z_.a-z0-9]*\\(.*\\))(([*/+\\-][0-9]+)*)(.*)");
    Matcher var11 = var10.matcher(var9);
    String var12;
    String var15;
    if (var11.find()) {
        var12 = var11.group(2);
        String var13 = var12.substring(var12.startsWith("=") ? 1 : 0, var12.indexOf("("));
        if (ExpressUtil.f.contains(var13.toLowerCase())) {
            String var14 = var11.group(1);
            var15 = var11.group(3);
            String var16 = var11.group(5);
            var8.put("jeTempText", var14 + "$expVal$" + var16);
            var9 = var12.trim() + var15.trim();
            var8.put("text", var9);
        }
    }
...

最终编译攻击者传入的payload。

public Expression compile(String expression, boolean cached) {
    return this.compile(expression, expression, cached);
}

漏洞复现

首先通过/jeecg-boot/jmreport/save,构造恶意报表数据。

再借助/jeecg-boot/jmreport/show根据id提取数据,即可触发该漏洞。

修复方案

不推荐直接将脚本的执行开放到任何不可信的环境,如果确实需要,可以参考https://www.yuque.com/boyan-avfmj/aviatorscript/ou23gy#elOSu,设置必要的选项。

产品支持

网宿全站防护-WAF已支持对该漏洞利用攻击的防护,并持续挖掘分析其他变种攻击方式和各类组件漏洞,第一时间上线防护规则,缩短防护“空窗期”。

网宿安全演武实验室
关注
  • 13
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jeecg-Boot 存在前台SQL注入漏洞(CVE-2023-1454)
nnn2188185的博客
04-10 6299
jeecg-boot 3.5.0版本存在SQL注入漏洞,该漏洞源于文件 jmreport/qurestSql 存在安全问题, 通过参数 apiSelectId 导致SQL注入。
JeecgBoot JimuReport testConnection RCE漏洞复现
0xSec
12-12 1894
JeecgBoot 的 jeecg-boot/jmreport/testConnection 未进行身份验证,并且未对 dbUrl 参数进行限制,当应用端存在H2数据库驱动依赖时,攻击者发送包含恶意 dbUrl 参数的 http 请求远程执行任意代码。
Jeecg-Boot 未授权SQL注入漏洞(CVE-2023-1454)
qq_27536045的博客
04-04 4980
原创文章创作不易,个人博客charis3306.top。
jeect-boot RCE漏洞(CVE-2023-4450)
zneVue
07-17 1337
JeecgBoot 是一个开源的低代码开发平台,Jimureport 是低代码报表组件之一。当前漏洞在 1.6.1 以下的 Jimureport 组件库中都存在,由于未授权的 API`/jmreport/queryFieldBySql`使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。
Jeecg-Boot 存在前台SQL注入漏洞【CVE-2023-1454】
holyxp的博客
07-02 4953
eecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x,SpringCloud,Ant Design&Vue,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1787
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Cyberchef实战之-Webshell绕过还原揭秘之-base64编码和压缩编码
村中少年的专栏
04-29 1184
介绍解析webshell常见的绕过手段,通过解析多层base64,压缩绕过的手段,扫清安全分析人员在日常的网络安全运营,护网,HVV,重保的过程中的障碍
hvv-rest:汉堡公共交通的HTTP API
05-23
hvv-rest是一种公共交通REST API ,是的干净替代方案。 它部署在 。 安装和运行 hvv-rest期望服务器在127.0.0.1:6379 (默认端口)上运行,但是您可以设置REDIS_URL环境变量来更改此设置。 通过Docker Docker映像 ...
Cyberchef实战之-Webshell绕过还原揭秘之--base64/HEX/Reverse/Html/Inflate/Rot13
村中少年的专栏
05-02 996
通过cyberchef分析一段使用了base64,hex,压缩,rot13,反转等多种方式的webshell样本,为网络安全运营的日常分析,提供参考思路
漏洞复现】2023HVV WPS Office 远程代码执行漏洞(RCE)
做自己喜欢的事,并将其发挥到极致!
09-08 2921
Office中的WebExtension是一种用于扩展Microsoft Office功能的技术。Office插件使第三方开发者能够在Office应用程序中集成自己的服务和功能。这些插件采用跨平台的Web技术(如HTML,CSS和JavaScript)开发,可以在不同的平台和设备上运行。简单理解就是Office内置了一个浏览器,可以解析html/javascript/css代码,本次的漏洞,就是WPS在处理WebExtension时,未能正确的处理javascript代码,造成了溢出RCE。
Goby漏洞更新 jeecg-boot 未授权SQL注入漏洞(CVE-2024-1454)
2401_84247760的博客
04-12 916
感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
JEECG-BOOT存在SQL注入漏洞[附POC]
Liyu_6618的博客
02-01 1546
JEECG-BOOT存在SQL注入漏洞[附POC]
CVE-2023-1454注入分析复现
蚁景网安学院
07-17 1876
JeecgBoot的代码生成器是一种可以帮助开发者快速构建企业级应用的工具,它可以通过一键生成前后端代码,无需写任何代码,让开发者更多关注业务逻辑。
Jeecg-boot JDBC任意代码执行漏洞
murphysec的博客
08-13 2359
JeecgBoot是一款开源的企业级低代码平台,提供了表单、视图、流程等一键生成代码功能,目前在GitHub具有 35.5k star。
Goby漏洞更新 | jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
m0_46699477的博客
03-24 1970
jeecg-boot 未授权SQL注入漏洞(CVE-2023-1454)
JeecgBoot jmreport/loadTableData 积木报表漏洞RCE(CVE-2023-4450)漏洞
由入门到精通
07-05 524
Jeecg Boot jmreport/loadTableData接口存在FreeMarker SSTI注入漏洞,攻击者可以通过操纵应用程序的模板引擎来执行恶意代码或获取敏感信息由于未授权的 API使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。
jeect-boot积木报表 queryFieldBySql接口RCE漏洞(CVE-2023-4450)
最新发布
qq_23003811的博客
07-23 631
jeect-boot积木报表由于未授权的 API /jmreport/queryFieldBySql 使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。1、RCE任意命令执行。
Jeecg-Boot qurestSql-SQL注入漏洞
weixin_43567873的博客
03-11 259
Jeecg-Boot qurestSql-SQL注入漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值