Java代码审计之ofcms | 技术精选0140

最新推荐文章于 2024-09-09 19:15:54 发布
最新推荐文章于 2024-09-09 19:15:54 发布
阅读量326 收藏 1
点赞数
分类专栏: Java 程序员 编程 文章标签: java servlet 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73257876/article/details/126303313
版权
本文详细分析了Java项目OFCMS的代码安全问题,包括任意文件读取、写入、SQL注入和上传漏洞。通过环境搭建,展示了如何复现这些漏洞,并解释了其背后的原理。此外,还提到了未深入研究的Freemarker模板注入和上传jsp文件无法执行的原因。
摘要由CSDN通过智能技术生成

本文约2000字,阅读约需5分钟。

话不多说,直接开始今天的代码审计。

1

环境搭建

Github地址如下:

"https://github.com/yuzhaoyang001/ofcms"

下载后,直接用IDEA打开ofcms项目,配置tomcat,选择第一个工件:

运行后,输入自己的数据库信息。等待配置完成后,最后输入你的管理员密码即可:

配置完成后,停止运行,编辑下述文件:

ofcms-master/ofcms-admin/src/main/resources/dev/conf/db-config.properties

再修改数据库配置,并修改文件db-config.properties为db.properties:

最低0.47元/天 解锁文章
七包辣条
关注
专栏目录
Java代码审计之ofcms
Java_ttcd的博客
08-12 377
还有一个freemarker模板注入漏洞,因为我自己也没整明白,也就没办法分析了。等以后审计能力够了会再写。还有一个问题,关于上传jsp文件为什么执行不了——是因为存在jfinal过滤器,所以没有办法传上去。运行后,输入自己的数据库信息。这里根据控制器,看每一个接口走下来,最终也是审出来了。...
ofcms代码审计
weixin_45653478的博客
07-30 955
最重要的是,找到模板注入请求的后端API注入的命令为:<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}发现请求的路径如下:为/src/main/java/com/ofsoft/cms/admin/controller/cms/TemplateController.java后台->模板设置->模板文件->模板目录->修改index.html在 com.ofsoft.cms.admin.controll
Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制
哦 卷!
09-09 1236
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。项目环境搭建项目路由机制文章中有错误点,或者思路上有什么问题的,欢迎师傅们留言指出~
【网络安全】}ofCMS代码审计
HBohan的博客
11-19 726
来先看看主要的目录结构吧(粗略)。 核心代码去瞧瞧,我的思路一般都是看看能够登入的地方(下面是我直接找到的后台管理登入系统)。 全局搜索一下。 【技术资料】 这算漏洞吗? 进入看了一下,但是没什么用,不能强行爆破。有限制账号登入次数。但是这里有个可以探测的,就是管理员的账号,账号的对错分别的得到提示不一样。算个小小的漏洞? 路径遍历 既然这里是登入后台,那就进入这一片的代码瞧瞧。看先一些有趣的东西。 这些参数去具体位置看看。 去看看对应代码。然后在这里(com/ofsoft/cms/admin/
Java代码审计】OFCMS 1.1.3 审计
YouthBelief的博客
02-17 3044
OFCMS 1.1.30x00 前言0x01 环境搭建1.1 cms下载地址1.2 idea部署项目1.3 服务启动成功1.4 程序自动安装(失败)1.5 尝试手动部署 (成功)1.5.1 创建库导入.sql文件1.5.2 修改数据库配置文件并改名1.5.3 重新启动项目1.5.4 访问后台0x02 漏洞挖掘2.1 sql注入2.1.1 漏洞位置2.1.2 定位代码2.1.3 分析传参处理2.2.4 payload2.2 SSTI模板注入2.2.1 漏洞位置2.2.2 定位代码2.2.3 分析传参处理2.2
Java代码审计(1)ofcms
混子
03-20 1397
文章目录前言环境搭建任意文件读取分析验证任意文件写入分析验证SQL注入分析验证任意文件上传分析验证总结 前言 环境搭建 github:https://github.com/yuzhaoyang001/ofcms 下载后,直接用IDEA打开ofcms项目,配置tomcat,选择第一个工件 运行后,输入自己的数据库信息后,等待配置完成后,最后输入你的管理员密码即可 配置完成后,停止运行,编辑 ofcms-master/ofcms-admin/src/main/resources/dev/conf/db-co
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 3612
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
精品-最全的Java代码审计技术资料合集(25份).zip
最新发布
09-21
java代码审计之路.pdf Java序列化的基本知识.md JDK 7u21反序列化漏洞分析.pdf log4j 1.x 与 logback 的鸡肋RCE讨论.pdf log4j2 JNDI 注入漏洞分析.pdf Object Serialization Stream Protocol.pdf OFCMS 1.1.4后台...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
OFCMS代码审计
as you know, nlp is fantasitc!
08-19 898
这次搭建环境比较顺利,没有遇到什么坑点,于是将前面学的应用到实际的框架审计中。
[Java代码审计]—OFCMS
Sentiment的博客
03-04 804
项目导入idea,创建数据库,配置下tomcat就行,但要注意必须tomcat>8.5,mysql>5.7。
JAVA代码审计
热门推荐
gjgj的博客
07-13 1万+
小迪 2020-6 第55天 如果去分析代码:工具 加 手工 相结合的方法进行分析 Java代码审计,主要从代码层面分析: 主要分为三大类:1、常规性代码 2、框架性代码 ( 各种各样的开发框架) (最常见的 框架漏洞是 struts2 框架漏洞 ) ...
java代码审计
gjgj的博客
07-18 4828
https://www.cnblogs.com/nongchaoer/p/13324114.html 有些源码搭建网站,会自动创建 数据库,但有些 需要先手动创建数据库,才可以搭建网站。视情况而定。 这里的报错,看报错信息,进行更改就好。 使用低版本的phpsyudy 搭建 代码审计——白盒测试 1、web应用/web网站 搭建成功后,使用web 漏洞扫描工具进行探针。 2、有源码的情况下,使用源码审计工具 进行漏洞挖掘。代码审计工具:N
Java代码审计
谷哥的小弟
04-11 1622
代码审计是一种安全测试方法,它通过对软件应用程序代码的静态分析和动态测试来确定应用程序中存在的安全漏洞。其主要目的是检测应用程序中可能被攻击者利用的安全漏洞,如输入验证问题、访问控制问题、缓冲区溢出、SQL注入等。通过进行代码审计可以发现应用程序中的潜在安全漏洞并提出修复建议,以提高应用程序的安全性。
Java中的代码审计
weixin_46372265的博客
07-22 1225
代码审计,顾名思义,就是对代码进行系统的检查和分析,以发现潜在的问题或优化点。它不仅仅是寻找代码中的错误或漏洞,更是为了确保代码的质量、安全性和性能。代码审计可以分为手工审计和自动化审计两种方式。手工审计需要经验丰富的开发人员逐行检查代码,而自动化审计则借助各种工具和技术来高效地扫描和分析代码。
UML类图到Java代码自动生成技术探索
"从UML类图到Java代码自动生成技术的研究主要关注如何将UML CASE平台中的模型转化为可执行的Java代码。该研究由张中宝、韩同欣和刘西洋共同完成,分别来自西安电子科技大学软件工程研究所和北京航空航天大学计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值