通过代码审计某友获取CNVD高危证书

于 2024-07-26 11:34:48 发布
阅读量258 收藏 4
点赞数 4
文章标签: 网络 web安全 测试工具 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57543652/article/details/140711389
版权

之前跟朋友聊到这个用友系统,说是存在很多漏洞,他审计了几个反序列漏洞的,也都发证书了。 自己也定了一个目标,今年搞几张高危证书,简单讲一下通过代码审计获取高危证书过程。

环境搭建

链接:https://pan.baidu.com/s/10V-1Foq6MJp82JDF3NHKxg 提取码:9496

数据库:sqlserver 2016 https://cloud.tencent.com/developer/article/1644863

操作系统:Windows2016

某友系列很多,本次选择了是一套很老的系统了

用友源码安装

下载百度云下载的压缩包,解压压缩包,运行setup.bat文件

image-20240516213314292

image-20240516213337274

选择模块然后点击安装,建议选择全模块安装,这样功能多,漏洞也多

image-20240516213402743

等待安装完成

image-20240516213431139

安装完成后目录(一般默认安装在C:\),运行startServer.bat 启动服务

image-20240516213528031

image-20240516213608016

这样本地环境就搭建后了,方便复现漏洞

debug调试配置

用友本身是有调试功能的,我们配置一下,在审计代码的断点调试

配置文件路径:C:\yonyou\home\bin\sysConfig.bat

image-20240516214848514

将下面的配置填入到虚拟机参数中,一般添加在最前面就可以了

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

这样在运行服务时监听5005端口

image-20240516215511117

IDEA配置

image-20240516214819885

在jar中class文件下断点

image-20240516220046757

image-20240516220105442

image-20240516220935169

cfr批量反编译jar

用友安装后的源码都是jar的,将jar都反编译出来,这样可以很好的审计代码

工具地址:https://github.com/leibnitz27/cfr/releases/tag/0.152

@echo off  
color 17  
  
if "%1" == "" (  
   for /f "delims=" %%i in ('dir /s /b /a-d /o-s \*.jar') do (  
       echo 正在反编译 %%~ni...  
       title 正在反编译 %%i...  
       java -jar cfr-0.152.jar "%%i" --caseinsensitivefs true  --outputdir "%%~di%%~pi%%~ni"  
       echo ----%%i已经翻反编译---  
   )  
   goto :end  
) else (  
   title 正在反编译 %1...  
   java -jar cfr-0.152.jar %1 --caseinsensitivefs true  --outputdir "%~d1%~p1%~n1"  
   echo 反编译完成.  
   goto :end  
)  
  
echo 反编译完成.  
@pause>nul  
  
:end  
pause  
exit

image-20240516221033074

将1.bat和cfr.jar放在一个目录,运行就批量反编译

image-20240516221132903

等待反编译完成,代码太多需要时间有点长

代码审计

开始分析代码前,可以去用友官网查看历史漏洞

image-20240516221424319

通过这些历史漏洞,可以捡漏。

  • 因为一个接口存在漏洞,其他代码中也可能有漏洞
  • 避免重复挖掘,不然提交CNVD会重复,白费功夫

主要讲我提交的两个sql注入workflowService,PaWfm2,这个系统sql注入还是很多的,只要用心都可以挖到漏洞

workflowService sql注入漏洞

漏洞代码路径:C:\yonyou\home\modules\webimp\lib\pubwebimp_cpwfmLevel-1\nc\uap\wfm\action\WorkflowService.java

image-20240516222116969

WorkflowService类中,将proDefPk参数传入getWfmXmlByPk方法

跟进getWfmXmlByPk方法

image-20240516222146091

看到使用到了 getProDefVOByProDefPk带入pk参数

image-20240516222205142

getProDefVOByProDefPk 是 接口类IWfmProDefQry定义的方法

WfmProDefQry类实现getProDefVOByProDefPk方法

image-20240516222222456

public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 传入dao.queryByCondition查询

PtBaseDAO类中 queryByCondition 方法下断点

开启断点调试查看proDefP值传入数据库,dao.queryByCondition 连接数据库查询

D:\CodeQL\databases\nc\home\modules\webbd\lib\pubwebbd_pubLevel-1.jar!\nc\uap\cpb\persist\dao\PtBaseDAO.class

image.png

image.png

strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'
可以看到 sql语句 查询pk_prodef字段是使用'闭合了sql,导致注入漏洞

image-20240516222313463

注:提交sql注入给CNVD 需要跑出数据库名称等,不然会被打回。

PaWfm2 sql注入漏洞

PaWfm2 漏洞产生的原理和 workflowService都是使用了 getProDefVOByProDefPk导致sql注入漏洞

image-20240516222539420

在代码的54行中,使用了getProDefVOByProDefPk方法来查询,该方法实现类为WfmProdefVO

WfmProdefVO proDefVo = WfmServiceFacility.getProDefQry().getProDefVOByProDefPk(proDefPk);

跟踪WfmProdefVO类实现的getProDefVOByProDefPk方法

image-20240516222720074

getProDefVOByProDefPk方法 代码

    public WfmProdefVO getProDefVOByProDefPk(String proDefPk) throws WfmServiceException {  
        PtBaseDAO dao = new PtBaseDAO();  
        SuperVO[] superVos = null;  
        try {  
            superVos = dao.queryByCondition(WfmProdefVO.class, "pk_prodef='" + proDefPk + "'");  
        }  
        catch (DAOException e) {  
            WfmLogger.error((String)e.getMessage(), (Throwable)e);  
            throw new LfwRuntimeException(e.getMessage());  
        }  
        if (superVos == null || superVos.length == 0) {  
            return null;  
        }  
        return (WfmProdefVO)superVos[0];  
}

getProDefVOByProDefPk该方法 直接将proDefPk参数 拼接到sql查询语句中,所以造成了sql注入漏洞

跟workflowService一样都使用了getProDefVOByProDefPk该方法

直接 queryByCondition 方法下断点

image.png

pk_prodef字段是使用'闭合了sql,导致注入漏洞
strWhere = (isnull(dr,0)=0) and pk_prodef='11';waitfor delay '0:0:4'--'

image-20240516222848172

提交了三个漏洞,重复了一个,两个高危

image-20240516222942430

image-20240522190609516

总结

  • 漏洞挖掘过程本身没有多少技术含量,但是总归收获了高危漏洞证书。

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

:

【----帮助网安学习,以下所有学习资料文末免费领取!----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集(含答案)
> ⑧ APP客户端安全检测指南(安卓+IOS)

大纲

首先要找一份详细的大纲。

在这里插入图片描述

学习教程

第一阶段:零基础入门系列教程

img

该阶段学完即可年薪15w+

第二阶段:技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

img

阶段三:高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

img
在这里插入图片描述

最后,我其实要给部分人泼冷水,因为说实话,上面讲到的资料包获取没有任何的门槛。

但是,我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”,其实是“无法开始”。

几乎任何一个领域都是这样,所谓“万事开头难”,绝大多数人都卡在第一步,还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术,马上行动起来,比一切都重要

资料领取

👇👇👇

:黑客&网络安全的零基础攻防教程

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

在这里领取:

在这里插入图片描述

努力的Kiko君
关注
代码审计 | 这个CNVD证书拿的有点轻松
hackzkaq的博客
04-13 2034
这个CNVD证书拿的有点轻松
WEB安全学习笔记
chenrs727的博客
12-02 2040
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
盘企LCMS的代码审计CNVD-2021-28469』1
08-03
盘企LCMS的代码审计CNVD-2021-28469』1
CNVD-1day代码审计&梦想CMS1.4&updatexml报错注入
m0_63917373的博客
01-04 1191
sql报错注入 updatexml函数利用 梦想CMS 代码审计
审计挖掘之CNVD通用漏洞
kali_Ma的博客
08-27 3291
前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境 在http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http:/
渗透测试挖掘漏洞获取CNVD证书的经验分享
08-21
渗透测试挖掘漏洞获取CNVD证书的经验分享 一、CNVD证书简介 CNVD证书是国家信息安全漏洞共享平台(China National Vulnerability Database)颁发的证书,证明了渗透测试员的原创性贡献。该证书是对白帽子原创性...
计算机三级信息安全
qq_44853615的博客
03-27 625
计算机三级信息安全,填空 1937年香农奠定了计算机二进制基础 信息安全保障工作,包括确定安全需求设计和实施安全方案,进行信息安全评测,实施信息安全监控与维护 计算机系统安全评估的第一个正式标准是可信计算机评估标准,为计算机安全评估奠定了基础,Tc SEC标准,1970年美国国防科学委员会提出,1985年美国国防部公布 网络嗅探,数据帧的嗅探 该标准是一组开放协议的总称,包括ESP协议,AH协议和密钥协商协议, Esp,协议提供安全加密,身份认证,数据完整性鉴别,主要的加密标准是DES和3DES Esp协议
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
全国计算机等级考试信息安全三级笔记
qq_42092076的博客
09-22 3059
把下面的题目全部背会,保你轻松过三级信息安全! 第九套题: 1.1972 Anderson 2.智能卡目前难以推广 3.发现数据库端口不属于数据库渗透测试 数据库渗透测试:监听器安全特性分析,用户名和密码渗透,漏洞分析 4.数据库安全检测:由外及里:端口发现,渗透测试,内部安全检测 5.视图机制的安全保护功能往往不太精细,不能达到应用系统的要求 6.RESOURSE权限:能创建基本表和视图,不...
代码审计-PHP项目&MVC注入&CNVD拿1day&SQL监控&动态调试
siu~
09-25 488
1、审计漏洞-SQL数据库注入挖掘 1、审计思路-正则搜索&功能追踪&辅助工具 3、审计类型-常规架构&MVC架构&三方框架
CNVD证书
weixin_43263451的博客
09-11 2113
第一次拿到cnvd证书纪念一下,哈哈哈哈哈
记一次CNVD通用漏洞审计
qq_50854662的博客
10-06 748
本文转载于:https://www.freebuf.com/articles/web/290697.html 0x01 前言写这篇文章的缘由其实还挺魔幻的,起因是在一次实战渗透时通过弱口令拿下一个低权限用户成功进入后台,在后台寻找功能点通过抓包分析,定位到目标系统后台存在SQL注入,通过os shell拿下内网之后闲着无聊就谷歌了下,发现这个系统的开发商是某某公司,同时cnvd也没有收录该产品,于是想着能不能捡漏搞个cnvd证书。碍于信息检索能力太差,只收集到屈指可数的几个url,而且这几个系统都没有弱口令
怎样获得CNVD原创漏洞证书
最新发布
qq_33163046的博客
03-04 4276
以上是我获取原创漏洞证书的过程。供大家参考,希望安全从业人员都能过上美好的生活。
CNVD证书】Alkacon OpenCms_安装和配置
soldi_er的博客
01-22 2589
文章目录下载下载代码压缩包参考文章安装项目根目录Tomcat应用服务器配置安装OpenCms配置opencms参考文章 下载 下载代码压缩包 简介:OpenCms是一个专业级别的开源网站内容管理系统。OpenCms可以非常容易的帮助建立和管理复杂的网站而无需专业的HTML知识。当使用一个复杂的模板引擎来规划站点,它提供一个类似于我们熟知的office应用的所见即所得编辑器来帮助使用者创建内容。OpenCms是一个完全开源的软件,它不需要任何许可费用。 访问 OpenCms官网,需要注册才能下载,点击注册提示
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1358
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
盘点近年来的各国各行较知名的互联网安全事件
热门推荐
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
CNVD证书经验分享
2302_76672693的博客
06-14 1105
CNVD证书经验分享
看大佬们都是如何获得cnvd原创漏洞证书
Y525698136的博客
06-12 3284
最近不少粉丝都在问关于怎么拿cnvd证书,之前也零散的分享过学员们的一些经验 今天带你们看看大佬是如何拿到cnvd原创漏洞证书
Java 获取cnvd漏洞
09-14
要使用Java获取CNVD漏洞信息,可以通过以下步骤实现: 1. 导入相关依赖:在Java项目中,首先需要导入相关的依赖库,以便能够进行网络请求和HTML解析操作。常用的库有HttpClient、Jsoup等,可以在项目的pom.xml文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力的Kiko君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值