JFinalcms 5.0.0代码审计(1)

于 2024-06-28 16:10:48 发布
阅读量733 收藏 18
点赞数 24
文章标签: 网络安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44513407/article/details/140045486
版权

0x00 前言

简介

JFinalCMS,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码,让您轻松打造自己的独立网站,同时也方便二次开发,让您快速搭建个性化独立网站,为您节约更多时间,去陪恋人、家人和朋友。

项目地址:JFinalCMS: JFinalCMS,极速开发,动态添加字段,自定义标签,动态创建数据库表并crud数据,数据库备份、还原,动态添加站点(多站点功能),一键生成模板代码,让您轻松打造自己的独立网站,同时也方便二次开发,让您快速搭建个性化独立网站,为您节约更多时间,去陪恋人、家人和朋友。

本篇只做sql注入部分。 

0x01 Sql注入

1 接口分析:"/admin/div_data"

1.1 漏洞分析

分析delete方法代码,知传入参数divId与ids均被转为int类型,if中的ids拼接不含注入点,把目光放到div.getTableName ⽅法,该⽅法是从获取 div 对象的表名,div 对象则是通过 divId 从数据库查询得到。如果这⾥表名可控,则可通过传⼊ divId 来控制div.getTableName 的值,从⽽实现⼆阶注⼊。⽽DivController#save ⽅法正好没有做任何的过滤,可以原封不动的将表名传递进去,存放在 value 变量中。

追踪div.getTableName()函数,判断传入的tableName不为null,则返回为它的值;而div则为:根据给定的主键值数组和指定的列,从数据库中查询并返回符合条件的模型对象。它首先验证主键值的正确性,然后构建查询语句,并通过执行查询获取结果,最后返回查询到的模型对象或者 null,也就是数据库中查询tableName这个参数,返回它。

//BaseDiv#getTableName()
public String getTableName() {
    return getStr("tableName");
} 
//public abstract class Model<M extends Model>#getStr(String attr)
 public String getStr(String attr) {
        Object s = this.attrs.get(attr);
        return s != null ? s.toString() : null;
    }
//DivController#save
public void save() {
		Div div =  getModel(Div.class,"",true);
		div.setCreateDate(new Date());
		div.setUpdateDate(new Date());
		div.save();
		//创建数据库表
		TableUtils.create(div.getTableName());
		redirect(getListQuery("/admin/div"));
	}
1.2 漏洞利用

div//save保存tableName的为sql恶意字符串。

然后删除⾃定数据的时候选择带有注⼊的表 id,⽽数据库表名称中的 id 需要为⾃定义数据中存在的 id,否则会出错。

此处自己没试成功,借用一下别人的图。

可以看到恶意语句成功拼接到正常的SQL语句中,成功造成SQL注⼊。

2 接口分析:"/admin/admin"

2.1 漏洞分析

AdminController#index方法中name,username传入参数是String字符串类型,同时findPage方法中存在拼接sql未过滤语句,造成sql注入。

//AdminController#index
public void index(){
    setListQuery();
    String name = getPara("name");
    String username = getPara("username");
    Integer pageNumber = getParaToInt("pageNumber");
    if(pageNumber==null){
       pageNumber = 1;
    }
    setAttr("page", new Admin().dao().findPage(name,username,pageNumber,PAGE_SIZE));
    setAttr("name", name);
    setAttr("username", username);
    render(getView("admin/index"));
}
//admin#findPage
public Page<Admin> findPage(String name,String username,Integer pageNumber,Integer pageSize){
	    String filterSql = "";
        if(StringUtils.isNotBlank(name)){
            filterSql+= " and name like '%"+name+"%'";
            //如果name不为空,则filtersql为拼接sql语句,且未经过滤,存在注入点。
        }
        if(StringUtils.isNotBlank(username)){
            filterSql+= " and username like '%"+username+"%'";
            //同上
        }
	    String orderBySql = DbUtils.getOrderBySql("createDate desc");
		return paginate(pageNumber, pageSize, "select *", "from cms_admin where 1=1 "+filterSql+orderBySql);
	}
//返回的sql语句查询也未对字符串参数进行过滤,典型的拼接型sql注入点。
2.2 漏洞利用

抓包,将数据包copy下来放到sqlmap目录下的r.txt文件中。

利用sqlmap输入命令:python sqlmap.py -r r.txt --dbs

3 接口分析:"/admin/content"

3.1 漏洞分析

ContentController#data方法中tiltle传入参数是String字符串类型,同时findPage方法中存在拼接sql未过滤语句,造成sql注入,跟2相同原因。

//ContentController#data
public void data() {
    setListQuery();
    String title = getPara("title");//传入字符串
    Integer categoryId = getParaToInt("categoryId");
    Integer pageNumber = getParaToInt("pageNumber");
    if(pageNumber==null){
       pageNumber = 1;
    }
    setAttr("categoryId",categoryId);
    setAttr("page", new Content().dao().findPage(categoryId,title,pageNumber,PAGE_SIZE,getCurrentSite().getId()));//title这里
    setAttr("title", title);
    render(getView("content/data"));
}
//content#findPage
public Page<Content> findPage(Integer categoryId,String title,Integer pageNumber,Integer pageSize,Integer siteId){
	    String filterSql = " and siteId="+siteId;
		if(categoryId!=null){
			filterSql+=" and (categoryId="+categoryId+" or categoryId in ( select id from cms_category where treePath  like '%"+Category.TREE_PATH_SEPARATOR+categoryId+Category.TREE_PATH_SEPARATOR+"%'))";
		}
        if(StringUtils.isNotBlank(title)){
            filterSql+= " and title like '%"+title+"%'";//未过滤的拼接
        }
		String orderBySql = DbUtils.getOrderBySql("sort desc,createDate desc");
		return paginate(pageNumber, pageSize, "select *", "from cms_content where 1=1 "+filterSql+orderBySql);
	}
3.2 漏洞利用

抓包,将数据包copy下来放到sqlmap目录下的r.txt文件中

利用sqlmap输入命令:python sqlmap.py -r r.txt

4 接口分析:"/search"

之前全是admin接口,后台需要登陆以后才能利用,审计一下前台代码,看是否存在漏洞。找到/searchController.java文件,看到keyword参数可能有问题。追踪,追追追没找到sql调用。

//searchController#index()
public void index() {
    String keyword = getPara("keyword");
    Integer pageNumber = getParaToInt("pageNumber");
    if(pageNumber==null){
        pageNumber = 1;
    }
    setAttr("pageNumber", pageNumber);
    setAttr("keyword", keyword);	//直觉可能有问题
    render("/templates/"+getCurrentTemplate()+"/search.html");
}

搜索一下吧

验证一下,啊居然真的有漏洞,太菜了,追不出来,只知道有漏洞,具体原因不详。  sqlmap抛下数据库验证一下,完活。

Mr丨坤
关注
jfinal对xss漏洞的处理
huangbaokang的博客
12-11 778
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
netty5.0.0.Alpha1(Alpha2)
07-12
netty-all-5.0.0.Alpha1.jar netty-all-5.0.0.Alpha1-sources.jar netty-all-5.0.0.Alpha1-javadoc.jar netty-example-5.0.0.Alpha1.jar netty-example-5.0.0.Alpha1-sources.jar netty-all-5.0.0.Alpha2.jar ...
Jfinal cms前台评论XSS漏洞分析
weixin_30535043的博客
05-14 540
Jfinal cms采用Java语言开发,官方代码仓库为:https://gitee.com/jflyfox/jfinal_cmsJfinal cms前台评论处存在XSS漏洞,以v4.6版本为例,下面是简单的漏洞分析。 首先来看如何利用此漏洞。 第一步:填写payload 在新闻评论的地方填写如下payload:abcd<img src="/xswv.png" onerror="...
JAVA代码审计JFinal_cms
RestoreJustice的博客
10-18 865
JFinal_cms 的一次代码审计
Jfinal CMS命令注入漏洞
MoLeft's Blog
12-21 1857
如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化。来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可。登录后台,找到模板管理,后台默认账号密码admin/admin123456。在 kali 上运行该工具,启动 rmi 和 ldap 服务。替换payload中的rmi或ldap地址,然后保存到。测试中使用的JDK版本:JDK8u101。jfinal_cms版本:5.0.1。类的构造方法中实例化。
代码审计.jfinal.XSS
qq_34012951的博客
03-03 171
detail 查看没有对xss特征进行过滤。1、搜索关键特征,查看是否有xss过滤器。更新修改功能没有对前端参数进行XSS过滤。2、没有全局过滤器,梳理所API.
代码审计.jfinal.sql注入
qq_34012951的博客
03-03 371
预编译未用占位符,无效预防sql注入。
jfinal-blog开源博客系统 v5.0.0源码
最新发布
10-20
jfinal-blog是基于jfinal框架开发的开源博客系统,它的特点是轻量级、易扩展、功能强大、支持Restful等。jfinal-blog提供了丰富的功能,包括文章管理、分类管理、标签管理、评论管理、友情链接管理等。此外,jfinal-...
Netty 5.0.0.Alpha1 版本 Netty 5.0 jar包下载 【Jar包 + 源代码 + Netty API文档】
02-11
Netty 5.0.0.Alpha1 版本,包含:Jar包+源代码+API文档。 官网Netty 5.0版本已经废弃,所以发布出来,方便大家下载。 《Netty权威指南》一书使用的就是Netty 5.0
netty-all-5.0.0 包含Alpha1 Alpha2
06-10
标题中的"Netty-all-5.0.0 包含Alpha1 Alpha2"指的是Netty框架的一个版本集合,这个版本包含了Alpha1和Alpha2两个预发布版本。预发布版本通常在正式版发布前用于测试和反馈,可能包含新功能、改进或修复的bug,但...
grafana-5.0.0-1.x86_64.rpm
03-19
grafana-5.0.0-1.x86_64.rpm,方便下载。结合zabbix可以实现炫酷的监控效果。官网下载龟速。
Java JFinal_cms的一次审计过程
include_voidmain的博客
01-10 830
可以通过安全管理器配置到底哪些类Beetl不允许调用,具体请参考高级用法。
jfinal获取url链接上面传来的string类型的值_SSRF漏洞攻击Redis-从零到获取Shell(脚本+视频)...
weixin_39951018的博客
10-22 1162
!!!文末有视频讲解!!!一、本节课程需要的主机Kali2.0Windows Server2003二、本节课需要的工具Redisncwiresharktcpdumppython2.7docker三、文章目录0x01 Redis基础0x02 Redis入侵,反弹shell0x03 Redis认证攻击0x04 写ssh-keygen公钥,使用私钥登陆0x05 写webshell0x01 Redis基础...
JFinal连接数据库配置说明
andaren6337的博客
05-19 313
本文采用的是加载配置文件的形式和数据库进行交互 ps:数据库采用的是postgresql 1、加载配置文件 1 public void configConstant(Constants me) { 2 3 PropKit.use("config.properties"); 4 5 } 2、config.properties配置 1 jdbc...
jfinal框架中防跨站脚本XSS攻击。
志全的博客
07-27 1017
跨站脚本攻击(XSS) Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 问题解决: 对于Jfinal轻量级框架解决方式从框架根本从特殊字符转义入手。 1、处理器配置初始化 public void configHandler(Handlers me) { XssHandler xssHan...
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1303
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
jfinal 检测到目标URL存在http host头攻击漏洞的解决方法
qq_41182238的博客
04-30 675
记录编写handler 来对此漏洞进行修复 编写handler 来对此漏洞进行修复 注:JFinal的 Handler是 AOP + 责任链 模式的一个变种,JFinal对action及interceptor处理自身也是一个Handler名叫ActionHandler,可见其功能之强大。平时开发的时候一般不需要使用,当Action与Interceptor还不够用的时候可以考虑Handler上场。另...
jfinal常见问题
夜晓星的博客
03-13 498
jfinal文档 controller层的的返回值: controller里的返回值定义都是void 如果是要跳转页面就使用 render("/XXX.html"); 如果是返回值就使用 renderJson(XXX); controller层接收参数: 接收XXX参数 getPara("XXX") 接收XXX参数,如果XXX为空就返回1 ge...
spring5.0.0 下载
09-07
你可以通过以下步骤下载Spring 5.0.0版本: 1. 打开Spring官方网站:https://spring.io/ 2. 点击页面右上角的"Download"按钮,进入下载页面。 3. 在下载页面上,你可以找到一个包含所有Spring版本的列表。向下滚动直到找到"Archive"部分。 4. 在"Archive"部分中,你会找到"5.0.0"版本的链接。点击该链接。 5. 点击链接后,你将跳转到Spring 5.0.0版本的下载页面。 6. 在下载页面上,你将看到Spring 5.0.0版本的各种下载选项。根据你的需求选择适合你的下载选项。 7. 选择下载完成后,点击下载链接开始下载Spring 5.0.0版本。 8. 一旦下载完成,你可以将该文件保存到你的计算机的任意位置。 希望这些步骤对你下载Spring 5.0.0版本有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值