Ofcms-(java代码审计学习)

最新推荐文章于 2024-10-12 17:55:45 发布
最新推荐文章于 2024-10-12 17:55:45 发布
阅读量1k 收藏 12
点赞数 26
分类专栏: 代码审计 文章标签: java 学习 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53884648/article/details/142875755
版权

1、背景

根据《java代码审计实战》学习进行记录,java代码审计CMS实战。

2、Ofcms下载

可搜索Ofcms1.1.2版本进行下载。下载连接:ofcms: java 版CMS系统、基于java技术研发的内容管理系统、功能:栏目模板自定义、内容模型自定义、多个站点管理、在线模板页面编辑等功能、代码完全开源、MIT授权协议。QQ 群: (2)185948056 (gitee.com)icon-default.png?t=O83Ahttps://gitee.com/oufu/ofcms

3、漏洞审计

3.1、SQL注入

代码位置:src/main/java/com/ofsoft/cms/admin/controller/system/SystemGenerateController.java”文件可能存在 SQL 注入漏洞。

	public void create() {
		try {
			String sql = getPara("sql");
			Db.update(sql);
			rendSuccessJson();
		} catch (Exception e) {
			e.printStackTrace();
			rendFailedJson(ErrorCode.get("9999"), e.getMessage());
		}
	}
}

通过getPara("sql")获取参数sql,在方法Db.update中执行。同样往该程序确定路由:/system/ge erate

@Action(path = "/system/generate", viewPath = "system/generate/")

我们代码的位置处于admin目录下的子文件说明该漏洞处罚条件需要登录后验证我们验证一下:通过路由设置sql=UPDATE%20of_cms_api%20SET%20api_url= updatexml(2,concat(0x7e,(version())),0)

调试处理:该处代码没有进行过滤,预编译等技术处理直接执行sql。

3.2、目录遍历漏洞

代码位置:“src/main/java/com/ofsoft/cms/admin/controller/cms/TemplateController.java”文件存在目录 遍历漏洞。

    public void getTemplates() {
        //当前目录
        String dirName = getPara("dir","");
        //上级目录
        String upDirName = getPara("up_dir","/");
        //类型区分
            String resPath = getPara("res_path");
        //文件目录
        String dir = null;
        if(!"/".equals(upDirName)){
              dir = upDirName+dirName;
        }else{
              dir = dirName;
        }
        File pathFile = null;
        if("res".equals(resPath)){
            pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir);
        }else {
            pathFile = new File(SystemUtile.getSiteTemplatePath(),dir);
        }

        File[] dirs = pathFile.listFiles(new FileFilter() {
            @Override
            public boolean accept(File file) {
                return file.isDirectory();
            }
        });
        if(StringUtils.isBlank (dirName)){
            upDirName = upDirName.substring(upDirName.indexOf("/"),upDirName.lastIndexOf("/"));
        }
        setAttr("up_dir_name",upDirName);
        setAttr("up_dir","".equals(dir)?"/":dir);
        setAttr("dir_name",dirName.equals("")?SystemUtile.getSiteTemplatePathName():dirName);
        setAttr("dirs", dirs);
        /*if (dirName != null) {
            pathFile = new File(pathFile, dirName);
        }*/
        File[] files = pathFile.listFiles(new FileFilter() {
            @Override
            public boolean accept(File file) {
                return !file.isDirectory() && (file.getName().endsWith(".html") || file.getName().endsWith(".xml")
                        || file.getName().endsWith(".css") || file.getName().endsWith(".js"));
            }
        });

通过pathFile = new File(SystemUtile.getSiteTemplateResourcePath(),dir);传入dir;dir参数直接从String dirName = getPara("dir","");传入;而这个过程及后面对dir和pathfile并没有做其他的过滤操作直接return,那么我们可以登录后台在路由:@Action(path = "/cms/template")下做操作;(路由确认可通过burpsuite访问模板文件得到;结合代码中满足其他几个参数res_path=res&up_dir=&dir=)来确认。

目录遍历需要在访问的url上禁用../目录回溯符来预防该类型漏洞。

3.3、任意文件上传

代码位置:src/main/java/com/ofsoft/cms/admin/controller/cms/TemplateController.java”文件存在任意文件上传漏洞。

    /**
     * 保存模板
     */
    public void save() {
        String resPath = getPara("res_path");
        File pathFile = null;
        if("res".equals(resPath)){
            pathFile = new File(SystemUtile.getSiteTemplateResourcePath());
        }else {
            pathFile = new File(SystemUtile.getSiteTemplatePath());
        }
        String dirName = getPara("dirs");
        if (dirName != null) {
            pathFile = new File(pathFile, dirName);
        }
        String fileName = getPara("file_name");
        // 没有用getPara原因是,getPara因为安全问题会过滤某些html元素。
        String fileContent = getRequest().getParameter("file_content");
        fileContent = fileContent.replace("&lt;", "<").replace("&gt;", ">");
        File file = new File(pathFile, fileName);
        FileUtils.writeString(file, fileContent);
        rendSuccessJson();
    }

通过FileUtils.writeString(file, fileContent);我们可以写入文件内容;路由地址还是处于@Action(path = "/cms/template");满足参数res_path=res&dirs=%2f&file_name=&file_content=可以写入webshell;通过rendSuccessJson可以了解为json输入我们构造请求:成功写入文件

虽然上传成功但我们这执行命令反馈页面找不到,可见该文件没有执行,我们跟进代码全局搜索json跟进“ src/main/java/com/ofsoft/cms/core/handler/ActionHandler.java ”可以发 现,程序将 jsp、html、json 等后缀都进行了置空,而 static 目录则是直接 return,那么,我们只需将 WebShell 上传至 static 目录即可正常访问,这里我们可以通过路径 穿越的方式将文件写入到其他目录,最终的 Payload 如下:

找到文件,重新给cmd传值执行成功。

3.4、模板注入

代码位置:根据官网介绍知道其模板引擎采用的是 freemarker。根据该模板引擎的语法,我们可 以通过以下方式进行任意代码执行:<#assidn ex="freemarker.template.utility.Execute"?new()>${ex("ipconfig")}

直接在对应的模板文件中加入该代码执行语句,访问该文件查看效果。

3.5、存储型XSS

对于一般的 XSS 漏洞,使用黑盒的手法可以快速地发现存在可控输入/输出的位置及 过滤的关键字。在 ofcms 中通过后台添加公告可以测出一个存在首页的存储型 XSS 漏 洞。

我这总是添加不了。

添加成功效果

代码位置:“admin/controller/ComnController.java”文件中的 update 方法插入后直接做了Db.update操作,和sql注入一样没有做过滤操作。

public void update() {
 Map<String, Object> params = getParamsMap();
 try {
 SqlPara sql = Db.getSqlPara(params.get("sqlid").toString(), params);
 Db.update(sql);
 rendSuccessJson();
 } catch (Exception e) {
 e.printStackTrace();
 rendFailedJson(ErrorCode.get("9999"));
 }
}
3.6、CSRF漏洞

观察到们前面的所有 POST 操作似乎都没有进行 token 校验;那么就会产生CSRF漏洞,我们直接用burpsuite生成的poc进行验证。

界面:新增用户

生成测试poc,点击使用浏览器测试

新增成功!!

4、思路

代码审计作为安全SDL中开发阶段不可或缺的一部分,作为企业治理需要每个环节将安全考虑进去才可以降低风险的概率;每个环境都应有相应的指导指南和对应的安全工具以及对应的技术来治理软件生命周期的安全问题。(内容用于学习审计相关知识!!)

添衣&吹風
关注
专栏目录
Java代码审计之ofcms | 技术精选0140
m0_73257876的博客
08-12 318
还有一个freemarker模板注入漏洞,因为我自己也没整明白,也就没办法分析了。等以后审计能力够了会再写。还有一个问题,关于上传jsp文件为什么执行不了——是因为存在jfinal过滤器,所以没有办法传上去。运行后,输入自己的数据库信息。这里根据控制器,看每一个接口走下来,最终也是审出来了。...
Java代码审计工程师 视频教程 下载 百度网盘链接2.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
[Java代码审计]—OFCMS
Sentiment的博客
03-04 784
项目导入idea,创建数据库,配置下tomcat就行,但要注意必须tomcat>8.5,mysql>5.7。
Java代码审计之路一(OFCMS
Love&Share
05-01 991
开启 Java 审计之路,从最基础的项目开始 文章目录OFCMS搭建环境漏洞分析模板注入文件上传XSSXXE参考: OFCMS 搭建环境 下载链接 导入项目 使用 idea 导入文件,注意这里是导入不是直接打开 import project 与 open 的区别: import project:如果项目不是用 idea 开发的,用 import 打开。因为这个情况下,这个项目不是 idea 模型,使用 import 可以避免许多不必要的麻烦。 open:如果项目之前就是 idea 开发的,直接用 o
OFCMS代码审计
菜鸟学安全的博客
08-03 347
OFCMS代码审计保姆级教程,一遍通关。
Java代码审计】OFCMS 1.1.3 审计
YouthBelief的博客
02-17 2967
OFCMS 1.1.30x00 前言0x01 环境搭建1.1 cms下载地址1.2 idea部署项目1.3 服务启动成功1.4 程序自动安装(失败)1.5 尝试手动部署 (成功)1.5.1 创建库导入.sql文件1.5.2 修改数据库配置文件并改名1.5.3 重新启动项目1.5.4 访问后台0x02 漏洞挖掘2.1 sql注入2.1.1 漏洞位置2.1.2 定位代码2.1.3 分析传参处理2.2.4 payload2.2 SSTI模板注入2.2.1 漏洞位置2.2.2 定位代码2.2.3 分析传参处理2.2
学习笔记-JAVA代码审计
人饭子的博客
11-01 195
JAVA代码审计 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 相关文章 一次从内网到外网,黑盒到白盒的批量挖洞经历 java审计基础 简单java代码审计代码审计_Sylon的博客-CSDN博客_代码审计 记一次对“天猫”商城系统的漏洞挖掘 【Java 代码审计入门-01】审计前的准备 ofCMS代码审计 相关资源 ...
初识java代码审计——ofcms 1.1.4内容管理系统代码审计
Alexz__的博客
05-05 3555
目录 壹 ofcms环境搭建(避坑指南) 贰 从ofcms出发浅析javaweb项目目录结构及其功能 叁 CVE-2019-9614 SSTI模板注入漏洞 肆 任意文件上传漏洞 伍 存储型XSS漏洞 陆 后台SQL注入漏洞 壹 ofcms环境搭建(避坑指南) 四月底开始入手java代码审计,从一开始的一头雾水到现在博客总结,之间经历了许多,走过不少坑,虽然大四啥事儿都没有但是整个过程也还是压力比较大的 现在IDEA中以及没有java代码审计插件 Fi...
Java代码审计(1)ofcms
混子
03-20 1378
文章目录前言环境搭建任意文件读取分析验证任意文件写入分析验证SQL注入分析验证任意文件上传分析验证总结 前言 环境搭建 github:https://github.com/yuzhaoyang001/ofcms 下载后,直接用IDEA打开ofcms项目,配置tomcat,选择第一个工件 运行后,输入自己的数据库信息后,等待配置完成后,最后输入你的管理员密码即可 配置完成后,停止运行,编辑 ofcms-master/ofcms-admin/src/main/resources/dev/conf/db-co
Java代码审计篇 | ofcms系统审计思路讲解 - 篇4 | XXE漏洞审计
哦 卷!
09-14 1007
我发现很多文章包括教程,大概套路是:只说有漏洞的点,将有漏洞的点指出,然后分析代码;或者黑盒测试出漏洞之后,然后分析代码。我认为这是在分析漏洞代码,而非代码审计代码审计文章或教程应该是从0开始找到漏洞所在,包括思路!所以这里不管有没有漏洞,我都会把审计过程写出来,因此篇幅会很长,但我认为这样对你会很有帮助。知其然亦知所以然。XXE漏洞审计Java代码审计篇 | ofcms系统审计思路讲解 - 篇1 | 环境搭建、路由机制。
精品-最全的Java代码审计技术资料合集(25份).zip
09-21
java代码审计之路.pdf Java序列化的基本知识.md JDK 7u21反序列化漏洞分析.pdf log4j 1.x 与 logback 的鸡肋RCE讨论.pdf log4j2 JNDI 注入漏洞分析.pdf Object Serialization Stream Protocol.pdf OFCMS 1.1.4后台...
Java代码审计工程师 视频教程 下载 百度网盘链接4.zip
06-19
├─20.实验课程作业 │ 10_业务逻辑漏洞.pdf │ 11_SQL注入漏洞.pdf │ 12_文件上传&目录遍历漏洞.pdf │ 13_命令执行(代码执行).pdf ...代码审计及SDL岗位面试总结.pdf 9.XSS漏洞审计.pdf
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1445
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
Puppeteer自动化:使用JavaScript定制PDF下载
ip16yun的博客
10-08 917
Puppeteer 是一个强大的Node.js库,提供了对无头Chrome或Chromium的控制,可以用于生成网页快照、抓取数据、自动化测试等任务。其中,生成PDF文件是一个常见的需求,本文将通过使用Puppeteer展示如何自动化生成定制的PDF,并使用代理IP、设置user-agent、cookie等技术来增强自动化过程的灵活性与稳定性。为了更好地理解如何定制Puppeteer生成的PDF文件,我们提供一个生成A4纸张格式的网页PDF的实例。用户可以根据需求自定义输出的PDF格式或内容。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 657
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
JavaSE——认识异常
最新发布
wx2023_10_15的博客
10-12 943
本文主要是正在学习异常的总结,主要讲了异常的概念、体系结构、分类、处理以及捕获,还有自定义异常类
springboot 用request.setAttribute 传值到控制层
qq56477643的博客
10-09 606
【代码】springboot 用request.setAttribute 传值到控制层。
【网络编程】掌握Java网络编程:深入理解Socket通信与实战技巧
Dylaniou的博客
10-11 1044
Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。Java的网络Socket编程为开发者提供了强大的工具来构建网络通信应用,从简单的客户端-服务器模型到复杂的分布式系统。希望本文能帮助您掌握Java网络编程的核心技术,并在实际项目中灵活运用。如果您有任何疑问或想要分享经验,请在评论区留下您宝贵的意见!🚀🌐🔌。
Unsafe 详解
qq_73210658的博客
10-10 2472
学习JUC的过程中发现有一个类很神奇,今天我们就来一起学习一下Unsafe类。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值