声明
出品|先知社区(ID:LeeH)
以下内容,来自先知社区的LeeH作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。
环境搭建
首先就是源码的下载,之后只需要配置一下Mysql数据库相关的配置就能够启动CMS
我们首先使用idea工具打开该项目源码, idea将会自动加载依赖
之后我们将sql/jfinal_cms_v4.sql中的数据库结构进行配置
我这里修改了一下,在前面加入了create database jfinal_cms; /use
jfinal_cms;这两条命令,可以直接将sql代码放入navicat进行运行配置
或者可以采用在mysql命令行创建库名之后使用source命令进行加载,最后就是配置Tomcat运行
源码分析
架构
我们首先关注一下该CMS的技术选择
- web框架:JFinal
- 模板引擎:beetl
- 数据库:mysql
- 前端:bootstrap框架
我们同样可以编写一个小工具针对pom.xml中的依赖,从maven仓库中探测处每一个依赖是否是具有漏洞的版本
审计
这里我们采用黑盒和白盒相结合的方法进行审计,我们从白盒角度考虑首先从后台管理开始寻找脆弱点(因为一般的系统,后台总是比主页更加脆弱)
关于admin的源码,可以定位到com.jflyfox.mod-ules.admin包下
在其中的AdminController类中
其路由为/admin,默认页面调用了index方法,初次登录,将会调用reader方法进行/pages/ad-min/login.html页面的渲染
这里的reader方法也就是调用了com.jfi-nal.core.Controller抽象类下的render方法,使用配置的模板引擎进行渲染操作
主要是因为这个方法是实现了JFinalConfig类的方法,而在com.jfinal.core.Config类中的con-figJFinal方法是存在JFinalConfig类的方法调用的
包含有
constant
interceptor
route
plugin
engine
handler
这些配置
所谓"知己知彼", 对项目的足够的熟悉,对于项目的漏洞挖掘来说也是不可或缺的一个重要部分
XSS1
在这个CMS中,针对XSS的防护几乎为零,在后台管理中,就是几乎没有任何的防御错误,各种的存储型XSS层出不穷,几乎是有框就有XSS
如果在这些位置能够插入XSS payload就好了,但是经过尝试,不能够直接插入payload,会有格式的错误
我们看看是如何进行验证的,对应的Controller为RegistController类
XSS2
不同于前面直接在创建用户的位置插入payload
这里定位到后端代码就是com.jflyfox.modules.fro-nt.controller.PersonController类中
XSS3
然而,攻击者仍有可能利用一些漏洞来绕过escapeHtml方法的检查。下面是一些常见的绕过方法:
1.利用HTML实体名称的漏洞:攻击者可能会使用HTML实体名称的漏洞来绕过escapeHtml方法。
2.利用Unicode编码的漏洞:攻击者可能会使用Unicode编码的漏洞来绕过escapeHtml方法。
此外,攻击者还可能会使用HTML注释的漏洞、HTML属性的漏洞等来绕过escapeHtml方法的检查。
SSTI
这里既然使用了一个模板引擎进行渲染,使用的是beetl,没怎么使用过这种引擎,学习一下,看看是否具有SSTI的漏洞的产生
他的官方文档地址在https://www.kancloud.c-n/xiandafu/beetl3_guide
我这里简单记了一些相关关键的内容
基本的模板语法
模板的配置
默认配置在/org/beetl/core/beetldefault.proper-ties里,Beetl首先加载此配置文件,然后再加载classpath里的beetl.properties,并用后者覆盖前者。配置文件通过Configuration类加载,因此加载完成后,也可以通过此类API来修改配置信息
下面是一些需要关注的配置
# 指定占位符DELIMITER_PLACEHOLDER_START=${DELIMITER_PLACEHOLDER_END=}# 指定定界符DELIMITER_STATEMENT_START=<%DELIMITER_STATEMENT_END=%># 字符集TEMPLATE_CHARSET = UTF-8# 指定本地Class调用的安全策略NATIVE_SECUARTY_MANAGER= org.beetl.core.DefaultNativeSecurityManager
定界符和占位符,默认为
<%var a = 2;var b = 3;var result = a+b;%>hello 2+3=${result}
同样可以自定义定界符和占位符,注释
///**/
属性
使用${xxx.name}
如果为数组或者List, ${user[0]}
需要知道Java集合,数组长度,统一用虚拟属性~size来表示
var list=[1,2,3];var size = list.~size
函数调用
print打印一个对象print(user.name);
json将对象转成json字符串,如var data=json(userList)可以跟一个序列化规则,如var data=json(userList,"[*].id:i"),具体参考https://gi-t.oschina.net/xiandafu/beetl-json
decode一个简化的if else结构,如dec-ode(a,1,"a=1",2,"a=2","不知道了"),如果a是1,这decode输出"a=1",如果a是2,则输出"a==2", 如果是其他值,则输出"不知道了"
flush强制io输出
pageCtx ,仅仅在web开发中,设置一个变量,然后可以在页面渲染过程中,调用此api获取,如pageCtx("title","用户添加页面"),在其后任何地方,可以pageCtx("title") 获取该变量
type.new创建一个对象实例,如var user=type.new("com.xx.User"); 如果配置了IMPORT_PACKAGE,则可以省略包,type.new("User")
type.name返回一个实例的名字,var userClassName=type.name(user),返回"User"
global返回一个全局变量值,参数是一个字符串,如var user= global("user_"+i);
cookie返回指定的cookie对象,如var userCoo= cookie("user"),allCookies = cookie();
安全输出
如果变量为空,不进行输出,可以在变量引用后加上 ! 以提醒beetl这是一个安全输出的变量,变量确实有可能不存在
如${user.wife.name! },即使user不存在,或者user为null,或者user.wife为null,或者user.wife.name为null beetl都不将输出可以在!后增加一个常量(字符串,数字类型等),或者另外一个变量,方法,本地调用,作为默认输出,譬如:
${user.wife.name!"单身"}`,如果user为null,或者user.wife为null,或者user.wife.name为null,输出`单身调用Java方法和属性
${@user.getMaxFriend(“lucy”)}${@user.maxFriend[0].getName()}${@com.xxxx.constants.Order.getMaxNum()}${@com.xxxx.User$Gender.MAN}<%var max = @com.xxxx.constants.Order.MAX_NUM;var c =1;var d = @user.getWife(c).getName();%>
可以调用instance的public方法和属性,也可以调用静态类的属性和方法 ,需要加一个 @指示此调用是直接调用class,其后的表达式是java风格的。
GroupTemplate可以配置为不允许直接调用Class以增强安全性,具体请参考配置文件
也可以通过安全管理器配置到底哪些类Beetl不允许调用,具体请参考高级用法。默认情况,java.lang.Runtime,和java.lang.Process不允许在模板里调用。你自己的安全管理器也可以配置为不能直接访问DAO类(避免了以前 JSP 可以访问任意代码带来的危害)
自定义安全管理器
所有模板的本地调用都需要通过安全管理器校验,默认需要实现NativeSecurityManager的public boolean permit(String resourceId, Class c, Object target, String method) 方法
如下是默认管理器的实现方法
public class DefaultNativeSecurityManager implements NativeSecurityManager{@Overridepublic boolean permit(String resourceId, Class c, Object target, String method){if (c.isArray()){//允许调用,但实际上会在在其后调用中报错。不归此处管理return true;}String name = c.getSimpleName();String pkg = c.getPackage().getName();if (pkg.startsWith("java.lang")){if (name.equals("Runtime") || name.equals("Process") || name.equals("ProcessBuilder")|| name.equals("System")){return false;}}return true;}}
我们这里按照其他模板引擎的数据,将备注修改为了${4+4},但是在渲染之后并没有执行这个模板语法,也即是渲染出4这个值
转而显示的是${4+4}这个字符串
这里就和我们之前学习的freemarker这个模板引擎很相似,同样利用的点是在模板语法本身,不同于velocity等引擎,如果直接渲染用户输入payload将会被转码而失效
所以这里的利用场景应该和freemarker一样,为上传点或者修改模板文件点,接下来我们寻找该CMS的上传位置
仔细看了一圈,前台并没有什么上传点,之后选择看看后台
这里存在有一个模板管理的功能。这里能够编辑模板,我们可以在这里对模板文件进行编辑,添加上我们的payload
${@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",@java.lang.Class.forName("java.lang.String")).invoke(@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null),"calc")}
这里解释一下这个payload的构造。根据前面我们对beelt的了解,我们知道它内置了一个调用本地Class的安全策略
# 指定本地Class调用的安全策略NATIVE_SECUARTY_MANAGER= org.beetl.core.DefaultNativeSecurityManager
return !pkgName.startsWith("java.lang") || !className.equals("Runtime") && !className.equals("Process") && !className.equals("ProcessBuilder") && !className.equals("System");默认是不能够直接进行系统调用的,我们这里利用的是Java的反射机制,结合beelt的模板语法构造恶意payload
SQL
在前端中几乎所有的数据库交互都是使用的Jfinal框架中的接口,使用的是预编译的方法,有效避免了SQL注入的产生,但是在后台中存在有大量的SQL注入,未经过滤就和sql语句进行拼接,造成了SQl注入的产生
其他位置还有很多,触发原因都是类似的
欢迎关注长白山攻防实验室微信公众号定期更新优质文章分享
611
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
