通过代码审计某友获取CNVD高危证书

已于 2024-07-18 14:33:41 修改
阅读量803 收藏 10
点赞数 8
文章标签: 网络安全 系统安全 web安全 计算机网络 安全 安全架构
于 2024-07-17 14:05:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wananxuexihu/article/details/140493321
版权

之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。

环境搭建

链接:https://pan.baidu.com/s/10V-1Foq6MJp82JDF3NHKxg 提取码:9496

数据库:sqlserver 2016 https://cloud.tencent.com/developer/article/1644863

操作系统:Windows2016

某友系列很多,本次选择了是一套很老的系统了

用友源码安装

下载百度云下载的压缩包,解压压缩包,运行setup.bat文件

image-20240516213314292

image-20240516213337274

选择模块然后点击安装,建议选择全模块安装,这样功能多,漏洞也多

image-20240516213402743

等待安装完成

image-20240516213431139

安装完成后目录(一般默认安装在C:\),运行startServer.bat 启动服务

image-20240516213528031

image-20240516213608016

这样本地环境就搭建后了,方便复现漏洞

debug调试配置

用友本身是有调试功能的,我们配置一下,在审计代码的断点调试

配置文件路径:C:\yonyou\home\bin\sysConfig.bat

image-20240516214848514

将下面的配置填入到虚拟机参数中,一般添加在最前面就可以了

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

这样在运行服务时监听5005端口

image-20240516215511117

IDEA配置

image-20240516214819885

在jar中class文件下断点

image-20240516220046757

image-20240516220105442

image-20240516220935169

cfr批量反编译jar

用友安装后的源码都是jar的,将jar都反编译出来,这样可以很好的审计代码

工具地址:https://github.com/leibnitz27/cfr/releases/tag/0.152

@echo off  
color 17  
  
if "%1" == "" (  
   for /f "delims=" %%i in ('dir /s /b /a-d /o-s \*.jar') do (  
       echo 正在反编译 %%~ni...  
       title 正在反编译 %%i...  
       java -jar cfr-0.152.jar "%%i" --caseinsensitivefs true  --outputdir "%%~di%%~pi%%~ni"  
       echo ----%%i已经翻反编译---  
   )  
   goto :end  
) else (  
   title 正在反编译 %1...  
   java -jar cfr-0.152.jar %1 --caseinsensitivefs true  --outputdir "%~d1%~p1%~n1"  
   echo 反编译完成.  
   goto :end  
)  
  
echo 反编译完成.  
@pause>nul  
  
:end  
pause  
exit

image-20240516221033074

将1.bat和cfr.jar放在一个目录,运行就批量反编译

image-20240516221132903

等待反编译完成,代码太多需要时间有点长

代码审计

开始分析代码前,可以去用友官网查看历史漏洞

image-20240516221424319

通过这些历史漏洞,可以捡漏。

  • 因为一个接口存在漏洞,其他代码中也可能有漏洞
  • 避免重复挖掘,不然提交CNVD会重复,白费功夫

主要讲我提交的两个sql注入workflowService,PaWfm2,这个系统sql注入还是很多的,只要用心都可以挖到漏洞

workflowService sql注入漏洞

漏洞代码路径:C:\yonyou\home\modules\webimp\lib\pubwebimp_cpwfmLevel-1\nc\uap\wfm\action\WorkflowService.java

image-20240516222116969

WorkflowService类中,将proDefPk参数传入getWfmXmlByPk方法

跟进getWfmXmlByPk方法

image-20240516222146091

看到使用到了 getProDefVOByProDefPk带入pk参数

image-20240516222205142

getProDefVOByProDefPk 是 接口类IWfmProDefQry定义的方法

WfmProDefQry类实现getProDefVOByProDefPk方法

image-20240516222222456

public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 传入dao.queryByCondition查询

PtBaseDAO类中 queryByCondition 方法下断点

开启断点调试查看proDefP值传入数据库,dao.queryByCondition 连接数据库查询

D:\CodeQL\databases\nc\home\modules\webbd\lib\pubwebbd_pubLevel-1.jar!\nc\uap\cpb\persist\dao\PtBaseDAO.class

image.png

image.png

strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'
可以看到 sql语句 查询pk_prodef字段是使用'闭合了sql,导致注入漏洞

image-20240516222313463

注:提交sql注入给CNVD 需要跑出数据库名称等,不然会被打回。

PaWfm2 sql注入漏洞

PaWfm2 漏洞产生的原理和 workflowService都是使用了 getProDefVOByProDefPk导致sql注入漏洞

image-20240516222539420

在代码的54行中,使用了getProDefVOByProDefPk方法来查询,该方法实现类为WfmProdefVO

WfmProdefVO proDefVo = WfmServiceFacility.getProDefQry().getProDefVOByProDefPk(proDefPk);

跟踪WfmProdefVO类实现的getProDefVOByProDefPk方法

image-20240516222720074

getProDefVOByProDefPk方法 代码

    public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 拼接到sql查询语句中,所以造成了sql注入漏洞

跟workflowService一样都使用了getProDefVOByProDefPk该方法

直接 queryByCondition 方法下断点

image.png

pk_prodef字段是使用'闭合了sql,导致注入漏洞
strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'

image-20240516222848172

提交了三个漏洞,重复了一个,两个高危

image-20240516222942430

image-20240522190609516

总结

  • 漏洞挖掘过程本身没有多少技术含量,但是总归收获了高危漏洞证书。
    今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

网络安全学习资源分享:

给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

【点击免费领取】CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】

在这里插入图片描述

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】

在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】

在这里插入图片描述

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

在这里插入图片描述

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费

img

程序员小杨耶
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次CNVD通用漏洞审计
jklbnm12的博客
10-11 896
0x01 前言 写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低权限用户成功进入后台,在后台寻找功能点通过抓包分析,定位到目标系统后台存在SQL注入,通过os shell拿下内网之后闲着无聊就谷歌了下,发现这个系统的开发商是某某公司,同时cnvd也没有收录该产品,于是想着能不能捡漏搞个cnvd证书。 碍于信息检索能力太差,只收集到屈指可数的几个url,而且这几个系统都没有弱口令可以进入后台,因为进不了后台,就猜测后台的功能也都无法使用,漏洞无法复现,于是在知道肯定过不了的情况下还是
代码审计 | 这个CNVD证书拿的有点轻松
hackzkaq的博客
04-13 1977
这个CNVD证书拿的有点轻松
CNVD-1day代码审计&梦想CMS1.4&updatexml报错注入
m0_63917373的博客
01-04 1133
sql报错注入 updatexml函数利用 梦想CMS 代码审计
CNVD证书
weixin_43263451的博客
09-11 1991
第一次拿到cnvd证书纪念一下,哈哈哈哈哈
盘企LCMS的代码审计CNVD-2021-28469』1
08-03
盘企LCMS的代码审计CNVD-2021-28469』1
审计挖掘之CNVD通用漏洞
kali_Ma的博客
08-27 3199
前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境 在http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http:/
怎样获得CNVD原创漏洞证书
qq_33163046的博客
03-04 3056
以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享 一、CNVD证书简介 CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性...
ClassCMS 2.4代码审计1
08-03
《ClassCMS 2.4 代码审计:深入理解任意远程文件下载漏洞》 ClassCMS 2.4 版本在安全审计过程中发现了一个严重的漏洞,该漏洞涉及到后台管理功能中的任意远程文件下载风险。这个安全问题被先知社区的专业安全技术...
CNVD出报告专用和42常见的的漏洞模板
最新发布
06-02
CNVD(China National Vulnerability Database)是中国国家信息安全漏洞库,它是我国网络安全防护的重要资源,用于收集、整理、验证、发布网络安全漏洞信息。这份名为“CNVD出报告专用和42常见的漏洞模板”的压缩包...
python爬取cnvd漏洞库信息的实例
09-19
接下来,通过循环来分页抓取数据。每次循环,构造一个URL,包括最大显示条数(max=20)和偏移量(offset),并使用requests.get发送GET请求。如果请求状态码不是200(表示成功),则会持续重试,直到成功。在成功...
CNVD证书】Alkacon OpenCms_安装和配置
soldi_er的博客
01-22 2563
文章目录下载下载代码压缩包参考文章安装项目根目录Tomcat应用服务器配置安装OpenCms配置opencms参考文章 下载 下载代码压缩包 简介:OpenCms是一个专业级别的开源网站内容管理系统。OpenCms可以非常容易的帮助建立和管理复杂的网站而无需专业的HTML知识。当使用一个复杂的模板引擎来规划站点,它提供一个类似于我们熟知的office应用的所见即所得编辑器来帮助使用者创建内容。OpenCms是一个完全开源的软件,它不需要任何许可费用。 访问 OpenCms官网,需要注册才能下载,点击注册提示
CNVD证书经验分享
2302_76672693的博客
06-14 1049
CNVD证书经验分享
代码审计-PHP项目&MVC注入&CNVD拿1day&SQL监控&动态调试
siu~
09-25 421
1、审计漏洞-SQL数据库注入挖掘 1、审计思路-正则搜索&功能追踪&辅助工具 3、审计类型-常规架构&MVC架构&三方框架
急速水CNVD证书,小水怡情、大水伤身、强水灰飞烟灭
Love&Share
12-12 6494
文章目录收录标准刷洞方法审核流程 从另一个角度,以黑盒的方式快速刷CNVD通用漏洞证书 https://www.cnvd.org.cn 首先要明确什么样的通用漏洞可以发证书 收录标准 这里的收录标准是能获得证书的标准 事件型 事件型漏洞必须是三大运营商(移动、联通、电信)的中高危漏洞,或者党政机关、重要行业单位、科研院所、重要企事业单位(如:中央国有大型企业、部委直属事业单位等)的高危事件型漏洞才会颁发原创漏洞证书 通用型 中危及中危以上的通用性漏洞(CVSS2.0基准评分超过4.0) 软件开发商.
快速获得CNVD证书
weixin_51725318的博客
05-26 2860
快速获得CNVD证书
【漏洞挖掘】挖掘CNVD证书
信安是不可或缺的一部分!
01-06 3496
国家信息安全漏洞共享平台(简称CNVD),对于白帽子来说,挖掘的漏洞提交后会有一定的奖励,如积分可以兑换京东卡,这里介绍的是如何挖掘cnvd证书证书的条件如下。
看大佬们都是如何获得cnvd原创漏洞证书
Y525698136的博客
06-12 2932
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书
Java 获取cnvd漏洞
09-14
根据CNVD官网提供的API,可以使用Java编程语言获取CNVD漏洞信息。以下是获取最新漏洞列表的示例代码: ```java import java.io.BufferedReader; import java.io.InputStreamReader; import java.net.HttpURLConnection; import java.net.URL; public class CNVD { public static void main(String[] args) throws Exception { String url = "http://www.cnvd.org.cn/web/vulnerability/queryLds.tag"; URL obj = new URL(url); HttpURLConnection con = (HttpURLConnection) obj.openConnection(); // 设置请求方法 con.setRequestMethod("GET"); // 添加请求头 con.setRequestProperty("User-Agent", "Mozilla/5.0"); // 发送GET请求 int responseCode = con.getResponseCode(); // 输出响应结果 BufferedReader in = new BufferedReader(new InputStreamReader(con.getInputStream())); String inputLine; StringBuffer response = new StringBuffer(); while ((inputLine = in.readLine()) != null) { response.append(inputLine); } in.close(); // 打印结果 System.out.println(response.toString()); } } ``` 该代码会向CNVD官网发送GET请求,并打印响应结果,包含最新漏洞列表信息。需要注意的是,该代码需要在网络环境下运行。同时,CNVD官网可能会对频繁请求进行限制,开发者需要注意不要过度请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值