【原创】JEECMS v6~v7任意文件上传漏洞(2)

最新推荐文章于 2024-03-28 14:54:00 发布
最新推荐文章于 2024-03-28 14:54:00 发布
阅读量657 收藏 1
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/rebeyond/p/5141316.html
版权

文章作者:rebeyond

受影响版本:v6~v7

漏洞说明:

JEECMS是国内Java版开源网站内容管理系统(java cms、jsp cms)的简称。该系统基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点;采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构。广泛应用于政府(部委和省级政府部门、市、县、乡及委办局)、教育科研(大、中、小学及各地方教育局)、电信运营商、金融(证券、保险及银行)、企业(矿业、煤炭、旅游、石油集团及大中型制造类企业)、新闻媒体(报社、网媒)等数字化信息平台建设领域。

该系统提供swfAttach文件上传功能,其中对用户提交的上传文件没有进行充分的检查,导致任意注册用户在前台即可上传任意格式的文件。

利用场景:前台注册用户。默认注册地址:http://www.xxx.com/register.jspx。

漏洞分析:

调用入口代码如下:

@RequestMapping(value = "/member/o_swfAttachsUpload.jspx", method = RequestMethod.POST)
    public void swfAttachsUpload(
            String root,
            Integer uploadNum,
            @RequestParam(value = "Filedata", required = false) MultipartFile file,
            HttpServletRequest request, HttpServletResponse response,
            ModelMap model) throws Exception{
        super.swfAttachsUpload(root, uploadNum, file, request, response, model);
    }

跟进swfAttachsUpload:

protected void swfAttachsUpload(
            String root,
            Integer uploadNum,
            @RequestParam(value = "Filedata", required = false) MultipartFile file,
            HttpServletRequest request, HttpServletResponse response,
            ModelMap model) throws Exception {
        JSONObject data=new JSONObject();
        WebCoreErrors errors = validateUpload( file, request);
        if (errors.hasErrors()) {
            data.put("error", errors.getErrors().get(0));
            ResponseUtils.renderJson(response, data.toString());
        }else{
            CmsSite site = CmsUtils.getSite(request);
            String ctx = request.getContextPath();
            String origName = file.getOriginalFilename();
            String ext = FilenameUtils.getExtension(origName).toLowerCase(
                    Locale.ENGLISH);
            String fileUrl="";
            try {
                if (site.getConfig().getUploadToDb()) {
                    String dbFilePath = site.getConfig().getDbFileUri();
                    fileUrl = dbFileMng.storeByExt(site.getUploadPath(), ext, file
                            .getInputStream());
                    fileUrl = request.getContextPath() + dbFilePath + fileUrl;
                } else if (site.getUploadFtp() != null) {
                    Ftp ftp = site.getUploadFtp();
                    String ftpUrl = ftp.getUrl();
                    fileUrl = ftp.storeByExt(site.getUploadPath(), ext, file
                            .getInputStream());
                
                    fileUrl = ftpUrl + fileUrl;
                } else {
                    fileUrl = fileRepository.storeByExt(site.getUploadPath(), ext,
                            file); //没有进行合法文件后缀检查。
                
                    fileUrl = ctx + fileUrl;
                }
                cmsUserMng.updateUploadSize(CmsUtils.getUserId(request), Integer.parseInt(String.valueOf(file.getSize()/1024)));
                fileMng.saveFileByPath(fileUrl, origName, false); //没有进行合法文件后缀检查
                model.addAttribute("attachmentPath", fileUrl);
            } catch (IllegalStateException e) {
                model.addAttribute("error", e.getMessage());
            } catch (IOException e) {
                model.addAttribute("error", e.getMessage());
            }
            data.put("attachUrl", fileUrl);
            data.put("attachName", origName);
            ResponseUtils.renderJson(response, data.toString());
        }
    }

通过构造以下表单,就可以进行测试:

 

下面是拿官方演示站测试的结果:

转载于:https://www.cnblogs.com/rebeyond/p/5141316.html

weixin_34245749
关注
漏洞复现】JEEWMS 任意文件读取漏洞
qq_67810151的博客
03-06 487
JEEWMS存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞读取任意文件,造成敏感信息泄露。
JEEWMS 任意文件读取漏洞
最新发布
weixin_43567873的博客
03-29 129
JEEWMS 任意文件读取漏洞
JEECMS后台任意文件编辑漏洞及拿shell
收集盒 Book box
07-11 5327
JEECMS是基于java技术开发,继承其强大、稳定、安全、高效、跨平台等多方面的优点 · 采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构 安全性做得非常变态,当网站安装完成后就不再允许执行任何目录下的jsp文件了(web.xml配置了过滤器禁止了很多种动态脚本)。     2.x后台: login/Jeecms.do 3.x
jeecms附件上传
qq_36397267的博客
07-27 1333
直接上代码: 在上传页面也如如下代码: <#include "../house/xsl_upload.html"/> <span id="ufc1" style="position:relative"> <input type='text' id='uploadFileText1' width="220px"  disabled="disable
玩了下JeeCms命令执行漏洞
NilLazy的博客
11-26 6845
第一个站点 首先看了下信息,是管理员权限 (好像这种命令执行漏洞都是administrator权限吧。。。 然后就是看下开没开3389了。。 Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0
漏洞学习——任意文件上传】四川外国语大学某分站任意文件上传导致getshell
Fly_鹏程万里
02-22 706
漏洞细节 fck编辑器存在地址:http://**.**.**.**:8080/include/fckeditor/editor/filemanager/upload/test.html 上传文件时可在文件名后加空格进行绕过上传 getshell 修复建议:增加白名单检测绕过 参见:https://bugs.shuimugan.com/bug/view?bug_no=15406...
jeeCmsV7-src 源码解析之八(后台导入模板与资源文件
nipanlong001的专栏
09-02 2307
一、导入模板 1.模板指的是项目模板包,即页面压缩包。层级结构为:压缩包名为default_my.zip(必须是zip格式)----->项目名称为default_my(和压缩包名一致)------>文件夹(名为index)---->html文件(名为index.html,为主页。)。注:在项目包default_my下可以有许多文件夹,用来引用或跳转.结构如下图:       2.进入jeeC
JEECMS V6 第二部分
05-11
JEECMS V6 第二部分】是针对Java企业级内容管理系统JEECMS的一个更新版本,专注于提升系统性能、安全性和用户体验。在这个部分,我们将会深入探讨JEECMS V6在设计、开发以及部署中的关键知识点。 1. **模块化设计...
JEECMS v6版工程发布
11-27
Jeecms是基于java技术研发的站群管理系统,稳定、安全、高效、跨平台、 无限扩展是jeecms 的优点,系统支持mysql、oracle、sqlserver、db2等主流 数据库。 轻松建设大规模网站群,从jeecms开始
JEECMS V6后台地址修改懒人包
09-15
包中的文件主要是针对JEECMS V6的源码进行了针对性的修改,用户只需要将这些修改后的文件覆盖到原有的JEECMS安装目录中对应的位置,就可以实现后台访问路径的变更。这通常涉及到以下几个关键文件或目录: 1. **...
jeecms明文密码传输漏洞
qq_36397267的博客
06-01 2223
关于jeecms明文密码传输漏洞修改:思路:由于jeecms密码加密采用md532位加密算法,是不可逆过程,数据库存放的是加密后的密码,登陆认证是将前台传入的密码加密后和数据库进行对比,所以往后台提交密码为加密后的密码的话,势必数据库密码也要加密一次,然后做对比就可以了。前台修改://密码框密码进行加密function passwordMd5(){    var x=document.getEle...
Jeecg 任意文件下载漏洞
一个安全研究员
02-17 5921
就这?
Jeecg 文件上传漏洞补丁说明
JEECG官方博客
07-05 1098
产品名字:Jeecg低代码平台 问题:文件上传至tomcat内,如上传jsp文件,可能造成脚本攻击 处理情况: 已经处理 处理方案:对于正常界面操作的组件上会有上传文件类型的控制,对于模拟http请求的上传,需要在上传处理文件的接口作文件名后缀限制,拿到下面补丁包,将代码拷贝至项目src目录。 补丁包下载: 链接:https://pan.baidu.com/s/1xC3sTzpIGiGbbDB2eDJYAA 提取码:y04a ...
wms物流管理存在的管理漏洞(上)
shly2009的博客
07-19 626
现在很多的物流企业管理中,由于企业流程标准化的欠缺,管理出现了很多的漏洞,今天wms仓库管理系统就列举其中几项常见的漏洞,希望可以帮助物流企业改进这些管理漏洞
修复JEECMS前台发布稿件页面BUG
u011243828的专栏
09-01 236
会员登录,进入会员中心,点击发布稿件,进入页面:/member/contribute_add.jspx   但如果该会员没有发布稿件的权限时,页面会显示不正常,如下图所示:  出现该错误的原因是:freemark做了逻辑判断,当用户没有投稿权限时,也就不会输出id为spanButtonPlaceHolder的元素,但脚本却还是会输出,脚本通过id调用元素时就出错了。   解决办法:对...
jeecms系统使用介绍——通过二次开发实现对word、pdf、txt等上传附件的全文检索
干勾鱼的CSDN博客
08-09 3389
转载请注明出处:http://blog.csdn.net/dongdong9223/article/details/76912307 本文出自【我是干勾鱼的博客】 之前在文章《基于Java的门户网站管理系统——JEECMS源码版的搭建步骤》中讲述了jeecms的搭建,那个时候还是V6版本,现在已经是V8版本了,功能又比之前增强了不少。 在文章《jeecms系统使用介绍——jeecms
mysql任意文件读取漏洞学习
BerL1n
09-13 3807
前言 最近在做ctf题时发现关于mysql任意文件读取漏洞的考点非常频繁,而且一直都朦胧不清,也没去学习,在不久前的DDCTF和国赛,还有最近的Nu1lCTF中都考到了这个点,利用Load data infile语法。在mysql客户端登陆mysql服务端后,客户端执行语句Load data local infile '/etc/passwd' into table proc;,从而可以导致mys...
JEEVMS仓库管理系统任意文件读取漏洞
weixin_43567873的博客
03-28 206
JEEVMS仓库管理系统任意文件读取漏洞
JEECMS V7系统详尽使用指南:Spring升级与Shiro集成
JEECMS-V7系统使用说明书是由江西金磊科技发展有限公司编写的文档,针对该版本的Java开源内容管理系统进行详细介绍。JEECMS-V7JEECMS的最新正式版,它在国内Java CMS领域享有极高的知名度和用户基础,因其强大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值