通过代码审计某友获取CNVD高危证书

于 2024-07-18 15:19:16 发布
阅读量631 收藏 13
点赞数 9
文章标签: 交互 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shangguanliubei/article/details/140524150
版权

之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。

环境搭建

链接:https://pan.baidu.com/s/10V-1Foq6MJp82JDF3NHKxg 提取码:9496

数据库:sqlserver 2016 https://cloud.tencent.com/developer/article/1644863

操作系统:Windows2016

某友系列很多,本次选择了是一套很老的系统了

用友源码安装

下载百度云下载的压缩包,解压压缩包,运行setup.bat文件

image-20240516213314292

image-20240516213337274

选择模块然后点击安装,建议选择全模块安装,这样功能多,漏洞也多

image-20240516213402743

等待安装完成

image-20240516213431139

安装完成后目录(一般默认安装在C:\),运行startServer.bat 启动服务

image-20240516213528031

image-20240516213608016

这样本地环境就搭建后了,方便复现漏洞

debug调试配置

用友本身是有调试功能的,我们配置一下,在审计代码的断点调试

配置文件路径:C:\yonyou\home\bin\sysConfig.bat

image-20240516214848514

将下面的配置填入到虚拟机参数中,一般添加在最前面就可以了

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

这样在运行服务时监听5005端口

image-20240516215511117

IDEA配置

image-20240516214819885

在jar中class文件下断点

image-20240516220046757

image-20240516220105442

image-20240516220935169

cfr批量反编译jar

用友安装后的源码都是jar的,将jar都反编译出来,这样可以很好的审计代码

工具地址:https://github.com/leibnitz27/cfr/releases/tag/0.152

@echo off  
color 17  
  
if "%1" == "" (  
   for /f "delims=" %%i in ('dir /s /b /a-d /o-s \*.jar') do (  
       echo 正在反编译 %%~ni...  
       title 正在反编译 %%i...  
       java -jar cfr-0.152.jar "%%i" --caseinsensitivefs true  --outputdir "%%~di%%~pi%%~ni"  
       echo ----%%i已经翻反编译---  
   )  
   goto :end  
) else (  
   title 正在反编译 %1...  
   java -jar cfr-0.152.jar %1 --caseinsensitivefs true  --outputdir "%~d1%~p1%~n1"  
   echo 反编译完成.  
   goto :end  
)  
  
echo 反编译完成.  
@pause>nul  
  
:end  
pause  
exit

image-20240516221033074

将1.bat和cfr.jar放在一个目录,运行就批量反编译

image-20240516221132903

等待反编译完成,代码太多需要时间有点长

代码审计

开始分析代码前,可以去用友官网查看历史漏洞

image-20240516221424319

通过这些历史漏洞,可以捡漏。

  • 因为一个接口存在漏洞,其他代码中也可能有漏洞
  • 避免重复挖掘,不然提交CNVD会重复,白费功夫

主要讲我提交的两个sql注入workflowService,PaWfm2,这个系统sql注入还是很多的,只要用心都可以挖到漏洞

workflowService sql注入漏洞

漏洞代码路径:C:\yonyou\home\modules\webimp\lib\pubwebimp_cpwfmLevel-1\nc\uap\wfm\action\WorkflowService.java

image-20240516222116969

WorkflowService类中,将proDefPk参数传入getWfmXmlByPk方法

跟进getWfmXmlByPk方法

image-20240516222146091

看到使用到了 getProDefVOByProDefPk带入pk参数

image-20240516222205142

getProDefVOByProDefPk 是 接口类IWfmProDefQry定义的方法

WfmProDefQry类实现getProDefVOByProDefPk方法

image-20240516222222456

public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 传入dao.queryByCondition查询

PtBaseDAO类中 queryByCondition 方法下断点

开启断点调试查看proDefP值传入数据库,dao.queryByCondition 连接数据库查询

D:\CodeQL\databases\nc\home\modules\webbd\lib\pubwebbd_pubLevel-1.jar!\nc\uap\cpb\persist\dao\PtBaseDAO.class

image.png

image.png

strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'
可以看到 sql语句 查询pk_prodef字段是使用'闭合了sql,导致注入漏洞

image-20240516222313463

注:提交sql注入给CNVD 需要跑出数据库名称等,不然会被打回。

PaWfm2 sql注入漏洞

PaWfm2 漏洞产生的原理和 workflowService都是使用了 getProDefVOByProDefPk导致sql注入漏洞

image-20240516222539420

在代码的54行中,使用了getProDefVOByProDefPk方法来查询,该方法实现类为WfmProdefVO

WfmProdefVO proDefVo = WfmServiceFacility.getProDefQry().getProDefVOByProDefPk(proDefPk);

跟踪WfmProdefVO类实现的getProDefVOByProDefPk方法

image-20240516222720074

getProDefVOByProDefPk方法 代码

    public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 拼接到sql查询语句中,所以造成了sql注入漏洞

跟workflowService一样都使用了getProDefVOByProDefPk该方法

直接 queryByCondition 方法下断点

image.png

pk_prodef字段是使用'闭合了sql,导致注入漏洞
strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'

image-20240516222848172

提交了三个漏洞,重复了一个,两个高危

image-20240516222942430

image-20240522190609516

总结

  • 漏洞挖掘过程本身没有多少技术含量,但是总归收获了高危漏洞证书。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

:

【----帮助网安学习,以下所有学习资料文末免费领取!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

在这里插入图片描述

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

img
在这里插入图片描述

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

👇👇👇

:黑客&网络安全的零基础攻防教程

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

在这里领取:

在这里插入图片描述

程序员七海
关注
  • 9
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
代码审计 | 这个CNVD证书拿的有点轻松
hackzkaq的博客
04-13 1977
这个CNVD证书拿的有点轻松
盘企LCMS的代码审计CNVD-2021-28469』1
08-03
盘企LCMS的代码审计CNVD-2021-28469』1
SRC与各类证书(EDU、CNVD、CVE)挖掘
最新发布
jennycisp的博客
06-05 665
希望这篇文章在可以帮助你解开一些对于漏洞挖掘的谜团。在学习和研究漏洞挖掘的过程中遇到困难并感到不知所措是很正常的。不过学习的过程就是这样,只有不断的去尝试才会进步。祝你在漏洞挖掘的路上走的越来越远。《网络安全/黑客技术学习资源包》全套学习资料免费分享,需要有扫码领取哦!
CNVD证书
weixin_43263451的博客
09-11 1992
第一次拿到cnvd证书纪念一下,哈哈哈哈哈
审计挖掘之CNVD通用漏洞
kali_Ma的博客
08-27 3200
前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境 在http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http:/
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享 一、CNVD证书简介 CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性...
CNVD-1day代码审计&梦想CMS1.4&updatexml报错注入
m0_63917373的博客
01-04 1134
sql报错注入 updatexml函数利用 梦想CMS 代码审计
怎样获得CNVD原创漏洞证书
qq_33163046的博客
03-04 3061
以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。
CNVD证书】Alkacon OpenCms_安装和配置
soldi_er的博客
01-22 2564
文章目录下载下载代码压缩包参考文章安装项目根目录Tomcat应用服务器配置安装OpenCms配置opencms参考文章 下载 下载代码压缩包 简介:OpenCms是一个专业级别的开源网站内容管理系统。OpenCms可以非常容易的帮助建立和管理复杂的网站而无需专业的HTML知识。当使用一个复杂的模板引擎来规划站点,它提供一个类似于我们熟知的office应用的所见即所得编辑器来帮助使用者创建内容。OpenCms是一个完全开源的软件,它不需要任何许可费用。 访问 OpenCms官网,需要注册才能下载,点击注册提示
CNVD证书经验分享
2302_76672693的博客
06-14 1049
CNVD证书经验分享
代码审计-PHP项目&MVC注入&CNVD拿1day&SQL监控&动态调试
siu~
09-25 421
1、审计漏洞-SQL数据库注入挖掘 1、审计思路-正则搜索&功能追踪&辅助工具 3、审计类型-常规架构&MVC架构&三方框架
急速水CNVD证书,小水怡情、大水伤身、强水灰飞烟灭
Love&Share
12-12 6496
文章目录收录标准刷洞方法审核流程 从另一个角度,以黑盒的方式快速刷CNVD通用漏洞证书 https://www.cnvd.org.cn 首先要明确什么样的通用漏洞可以发证书 收录标准 这里的收录标准是能获得证书的标准 事件型 事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书 通用型 中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0) 软件开发商.
快速获得CNVD证书
weixin_51725318的博客
05-26 2862
快速获得CNVD证书
【漏洞挖掘】挖掘CNVD证书
信安是不可或缺的一部分!
01-06 3496
国家信息安全漏洞共享平台(简称CNVD),对于白帽子来说,挖掘的漏洞提交后会有一定的奖励,如积分可以兑换京东卡,这里介绍的是如何挖掘cnvd证书证书的条件如下。
看大佬们都是如何获得cnvd原创漏洞证书
Y525698136的博客
06-12 2936
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书
记一次CNVD通用漏洞审计
qq_50854662的博客
10-06 700
本文转载于:https://www.freebuf.com/articles/web/290697.html 0x01 前言写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低权限用户成功进入后台,在后台寻找功能点通过抓包分析,定位到目标系统后台存在SQL注入,通过os shell拿下内网之后闲着无聊就谷歌了下,发现这个系统的开发商是某某公司,同时cnvd也没有收录该产品,于是想着能不能捡漏搞个cnvd证书。碍于信息检索能力太差,只收集到屈指可数的几个url,而且这几个系统都没有弱口令
这个CNVD证书拿的有点轻松
weixin_43580839的博客
10-18 3936
1.通过审计EmpireCMS找到某个文件,该文件不是PHP文件,只是普通html静态文件,但是其中有一段代码存在漏洞,代码大概的意思是通过Request函数获取地址栏的URL参数,并作为img和a标签的,src属性和href属性,然后经过document.write输出到页面。 2.之后我们查找request函数流程,就是通过window.location获取当前地址,根据传入的url参数,获取当前地址url参数起始位置和结束位置。 例如我的地址是:index.html?url=javascrip
Java 获取cnvd漏洞
09-14
要使用Java获取CNVD漏洞信息,可以通过以下步骤实现: 1. 导入相关依赖:在Java项目中,首先需要导入相关的依赖库,以便能够进行网络请求和HTML解析操作。常用的库有HttpClient、Jsoup等,可以在项目的pom.xml文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员七海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值