最新要闻
- 奇瑞QQ冰淇淋的智能化驾驶 可坡道起步、动力随心
- 【环球聚看点】马斯克否认家里有矿:不是富二代而是白手起家
- 挑战千元旗舰耳机!真我Buds Air5 Pro行业首发50dB降噪
- 怎么用手机更健康?专家:正常光照下建议亮度控制在50%、距离50cm 天天亮点
- 巴菲特将AI比作原子弹:将会改变一切
- 网友的iPhone 14 Pro Max烧屏!苹果售后反馈“屏幕没问题”|动态焦点
- 客所思s10 客所思控制面板下载s10 环球最资讯
- iPhone 16 Pro将采用固态按键:还有屏下Face ID!|世界今头条
- 咋想的?一住户小区花园内放生蟑螂 专家:病菌宿主可传播疾病_天天通讯
- 即时:餐馆有机花菜无认证遭索赔500元 正当维权还是恶意索赔?
- 全国首例超长矸石充填开采工作面在山能鲁西矿业新巨龙公司“上线”
- 欧普康视:目前OK镜没有涉及到AIGC技术_今日关注
- 《小美人鱼》正片片段曝光:黑小美人鱼海底一展歌喉 天天滚动
- 全球今日讯!漫威影史最高分电影 《银河护卫队3》票房破2亿
- 俞敏洪谈为什么大量孩子失去好奇心:中国填鸭式教育、老师引导等造成 每日热点
- 浙江风彩网福彩双色球走势图_浙江风彩网 环球资讯
手机
iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?
- 警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案
- 男子被关545天申国赔:获赔18万多 驳回精神抚慰金
- 3天内26名本土感染者,辽宁确诊人数已超安徽
- 广西柳州一男子因纠纷杀害三人后自首
- 洱海坠机4名机组人员被批准为烈士 数千干部群众悼念
家电
记一次springboot项目漏洞挖掘 全球观速讯
前言
前段时间的比赛将该cms作为了题目考察,这个cms的洞也被大佬们吃的差不多了,自己也就借此机会来浅浅测试下这个cms残余漏洞,并记录下这一整个流程,谨以此记给小白师傅们分享下思路,有错误的地方还望大佬们请以指正。
安装
参考官方文档,给出了很详细的安装说明,如安装遇到问题,可到官方论坛寻找解决方法,常见安装失败问题都有。
(资料图)
https://gitee.com/iteachyou/dreamer_cms#https://gitee.com/link?target=https%3A%2F%2Fwww.iteachyou.cc%2Farticle%2F55ec2939c29147eca5bebabf19621655
该cms项目是基于springboot框架开发的,安装的时候需要的环境为 springboot+redis+mysql+ IDEA
配置文件主要是这两个application-prd.yml和application-dev.yml,需要配置好mysql数据库连接、redis连接以及网页静态资源路径,其余的安装上面的一步步安装即可。
安装成功后访问登陆页面
管理员账号密码已经给了,直接登录。
漏洞测试
风格管理模板存在任意编辑文件实现命令执行
经测试,发现后台风格管理模板上传主题压缩包时可以进行污染压缩包theme.json文件,达到目录穿越到服务器敏感目录,从而在模板管理在解析时没有进行检测可以任意编辑系统敏感文件导致GetShell,控制服务器权限。
漏洞产生的主要文件:主题上传Controller文件:src/main/java/cc/iteachyou/cms/controller/admin/ThemesController.java
, 找到add
方法。
首先是判断文件是否存在以及JSON解析是否正确;判断Key是否都存在;判断对应值是否为空;创建theme对象;判断设置路径是否已"default"开头。最后校验主题包各种配置是否正确。确认的话就成功上传。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图 ② 60+网安经典常用工具包 ③ 100+SRC漏洞分析报告 ④ 150+网安攻防实战技术电子书 ⑤ 最权威CISSP 认证考试指南+题库 ⑥ 超1800页CTF实战技巧手册 ⑦ 最新网安大厂面试题合集(含答案) ⑧ APP客户端安全检测指南(安卓+IOS)
但是没有对themePath路径问题进行检测,便可构造目录穿越,这也是该漏洞造成的关键原因。
最后是判断上传的压缩包里的各类信息无误后进入处理保存文件逻辑的save方法。
在上传的主题包里的\dreamer\dreamer-cms\templates\default_v3\theme.json文件,将目录穿越的构造替换主题包路径,更改之后theme.json文件内容如下:
{ "themeName":"新版主题", "themeImage":"http://localhost:8888/resource/img/dreamercms-logo.png", "themeAuthor":"", "themePath":"../../../../../../../../../../../../../../"//此路径要和模板文件夹的名称一致}
虽然有检测,但是在之前themeDir已经被污染了,所以相当于检测相当于没有。接着检查是否有权限,startwith方法也没有问题。
``
最后就是保存文件。到此时后台模板已被刚刚传入的构造污染,可以进行利用,效果如下:
将修改后的主题包上传
风格页面会多出一个新的主题
点击启用。然后查看模板管理页面,发现目录穿越成功,成功进入服务器的根目录,这时就相当于在自己服务器上编辑修改文件。
测试文件为/home/www 目录下的1.txt文件,原本是空文件。
在页面修改该文件,添加内容
然后保存,再到服务器里查看,成功将内容加入。
如果修改authorized_key文件便可进行免密登录,利用压缩校验不正确从而上传任意危险文件,例如一句话木马等来获取系统权限;还可以获取系统passwd文件获取敏感信息,也可以写计划任务进行命令执行。
该漏洞分析到此为止,接着是附件管理模板可以进行任意文件下载、删除。
#
附件管理模板可以进行任意文件下载、删除。
漏洞产生主要文件:
src/main/java/cc/iteachyou/cms/controller/admin/AttachmentController.java添加附件功能的代码如下:
首先肯定是先添加附件,这里没有对attachment参数进行过滤。导致保存附件的时候目录穿越的构造就被保留了下来,对其进行解析后就可以将服务器的指定文件随意下载、删除,从而对服务器构成威胁。
下载、删除功能的代码都在同一个文件,都是通过刚刚的attachment参数,然后使用attachment.getFilepath()获取服务器文件路径,对其进行解析。
先看下载功能的代码:
这里也没有对 filePath变量进行过滤,所以总的来说就是添加附件和下载附件的两处代码,都没有对相应的变量进行检测过滤,从而导致漏洞产生。
删除功能的代码:
删除的话就没什么好说的,和上面一样的原理,试想下,如果可以任意删除服务器的配置文件,那不就相当于服务器要崩的节奏。
漏洞演示如下:
还是利用刚刚/home/www目录下的1.txt文件
在添加附件模块先随便上传一个本地文件(这里随便上传了一个theme.txt文件)
burpsuite抓包如下
需要改的就是这个filepath参数对应的文件路径,将其修改为
../../../../../../../../../../../../../home/www/1.txt
然后放包。
刷新页面,观察到多了一个theme.txt文件,下载下来并打开内容如下:
服务器里的/home/www/1.txt里的内容193840sswwloP 已成功写入本地theme.txt文件,任意下载文件成功。
删除效果,点击右边的删除。
发现该1.txt文件被删除了,任意删除文件成功。
#
模板管理存在任意文件包含
产生漏洞的主要文件:src/main/java/cc/iteachyou/cms/taglib/tags/IncludeTag.java
If语句只是简单判断值是否为空,但是没有检测过滤字符,导致可以传入目录穿越的构造../../../../../../../../../../../../../home/www/1.txt
进行文件包含,读取里面内容。接着在模板管理找到index_about.html
将../../../../../../../../../../../../../home/www/1.txt
写入div标签并保存,如下图
接着访问主页里的关于我们:
可以看到,成功进行了文件包含,如将构造/home/www/1.txt
换成/etc/passwd
这类敏感文件,则被攻击者获取到关键信息,这里也测试下:修改构造
页面如期输出/etc/passwd文件里的信息。
总结
本文测试是在该cms旧版本上进行的,新版本对已有问题已进行了修复,这次对该java实现的cms漏洞挖掘收获满满,对cms安装、部署以及代码审计中要注意的点得到了良好的锻炼。
更多网安技能的在线实操练习,请点击这里>>
关键词:
记一次springboot项目漏洞挖掘 全球观速讯
微资讯!科创板收盘播报:科创50指数涨0.77% 软件股显著回暖
奇瑞QQ冰淇淋的智能化驾驶 可坡道起步、动力随心
【环球聚看点】马斯克否认家里有矿:不是富二代而是白手起家
挑战千元旗舰耳机!真我Buds Air5 Pro行业首发50dB降噪
怎么用手机更健康?专家:正常光照下建议亮度控制在50%、距离50cm 天天亮点
巴菲特将AI比作原子弹:将会改变一切
网友的iPhone 14 Pro Max烧屏!苹果售后反馈“屏幕没问题”|动态焦点
客所思s10 客所思控制面板下载s10 环球最资讯
天天观点:Linux基础18 磁盘介绍, 结构, 磁盘分区Fdisk
Marked.js让您的文档编辑更加轻松自如-环球报资讯
Kerberos协议原理 全球时讯
验证码短信 API 接入指南:Java 语言示例代码 天天新消息
Tcl/Tk教程_编程入门自学教程_菜鸟教程-免费教程分享_世界观速讯
iPhone 16 Pro将采用固态按键:还有屏下Face ID!|世界今头条
咋想的?一住户小区花园内放生蟑螂 专家:病菌宿主可传播疾病_天天通讯
即时:餐馆有机花菜无认证遭索赔500元 正当维权还是恶意索赔?
全国首例超长矸石充填开采工作面在山能鲁西矿业新巨龙公司“上线”
关于Kubernetes-v1.23.6-master节点的初始化操作|全球播报
WEB中间件常见漏洞总结 当前通讯
企业短信遭疯狂盗用,可能是没配置验证码_当前报道
[webrtc 入门系列] centos搭建coturn服务器 当前播报
欧普康视:目前OK镜没有涉及到AIGC技术_今日关注
《小美人鱼》正片片段曝光:黑小美人鱼海底一展歌喉 天天滚动
全球今日讯!漫威影史最高分电影 《银河护卫队3》票房破2亿
俞敏洪谈为什么大量孩子失去好奇心:中国填鸭式教育、老师引导等造成 每日热点
世界消息!kingbase之ksql命令工具
【Issues】axios如何获取responseType为blob的请求的错误信息 环球时讯
浙江风彩网福彩双色球走势图_浙江风彩网 环球资讯
环球微速讯:一秒充一公里!华为全液冷超充架构全球首测:小鹏发去感谢信
京东20年为员工投入福利近500亿 还建4000套员工公寓 租金仅5折
别总盯着帕萨特 新一代别克君越上市定档:20万最香行政轿车来了
电动车主自驾更省钱!支付宝出行可看电价波动 一键比价
天天视讯!手机丢了三年后被启用:摄像头拍下非洲小哥
【上海成交周报】第19周新房成交2627套,涨价房源1613套 天天精选
常见的 API 大全分享_全球观点
C#高级编程--通信协议
GPS北斗卫星时间同步系统助力电力自动化网络系统_世界看热讯
世界热资讯!螣龙安科携攻击面管理和BAS再上榜!2023网安行业全景图速看
ESXI运行虚拟机,软件包0CPU耗用高 当前热门
观天下!河南董寨为野外孵化的朱鹮幼鸟佩戴“身份证”
华硕k43s什么时候上市的?华硕k43s参数
首款天玑8020平板电脑!荣耀平板V8今日发售:1899元起
环球关注:高性能大屏轻薄本华为MateBook D 16将开售 高质价比的实力之选
0月租!中兴U50 Pro 5G随身Wi-Fi首销:1699元|全球快资讯
员工拒从北京调离被开除 获赔14万+:官方支持维权 地点调整处理不当
罗永浩直播间拍卖西湖公厕充电宝 超低起拍价58元
索尼黑卡RX100M5怎么拍延时视频?索尼黑卡RX100M5参数
amd e350相当于intel的什么CPU?amd E350支持多大内存?
高分屏是什么意思?高分屏和ips屏有什么区别?
AMD OverDrive如何使用?AMD OverDrive怎么超频?
环球热门:常青科技董秘回复: “2-乙烯基萘”为公司募投项目计划产品之一,募投项目尚在建设当中
人民出版社在哪个城市?人民出版社是什么级别?
奥特曼的生日是几月几日?奥特曼名字大全
范伟出演的电视剧都有哪些?范伟个人简介
护士帽子三条杠是什么职称?护士帽子三道杠解释
仙境传说RO H5游戏详细图文架设教程
每日信息:使用UE做动画编辑-VRAnimEditor
刘基贤为什么叫67?刘基贤个人简介
世界热议:茂名恒博贸易有限公司_关于茂名恒博贸易有限公司的简介
华为夏季全场景新品发布会官宣:5月18日见-天天快看
五一高速免费结束后下高速 男子拒付费堵了出口9小时_百事通
男子摔坏主管手机被开除 法院:公司赔偿13万余元
今日快讯:保护壳“泄露天机”:三星Galaxy Z Flip5副屏神似文件夹
小牛三款电动新车本月发!号称史上最远、最快、最能装_世界微头条
鄂尔多斯市内培外引打造龙头领航强磁场
Java开发、SpringBoot开发(狂神说Java) 每日消息
全球观焦点:在JS中如何判断两个对象是否相等
把钱叠成爱心的简单方法(怎么把钱叠成爱心简介介绍)
新一代华为MateBook D 16今日开售:顶配i9-13900H 16英寸黄金屏 重点聚焦
车机软件未达预期 曝大众汽车将解雇大部分高管 天天热推荐
天天快看:造型媲美法拉利!全新丰田皇冠Sport首发:进中国敢卖40万
视点!不少车主狂喜:开车违法 刷视频就可免于扣分罚款
不易变形:220g重磅纯棉短袖19.9元新低(原价59元)
西藏学者:寄宿制教育更应以当地人视角去理解|热议
环球短讯!武汉汉派融城投资管理有限公司_关于武汉汉派融城投资管理有限公司简述
【新要闻】高并发场景下的 HttpClient 优化,QPS 大大提升!
太惨!美国人不敢把钱存银行了 苹果的“余额宝”等受益|世界报资讯
一机传三代!年轻人换机周期最高拉长到3年:华为等成首选-世界速看
孩子高铁上狂踢前排:家长无动于衷 环球简讯
当前资讯!30万新能源豪华MPV销冠!腾势D9 5月新增订单冲击1.5万台
首款IP69K认证手机发布:防水性能秒杀IP68!冲热水澡、泡温泉不怕了 环球关注
中邮证券:给予金隅集团买入评级_环球观察
爱康体检结果查询官网_爱康体检结果网上查询_全球微头条
几十元的蓝牙鼠标 延迟秒杀几百元的蓝牙耳机:原因我懂了
全球新消息丨老头乐必须封杀 危害公共安全!崔东树称新能源车下乡是战略方向:大爷们要换车
python高效处理大数据集1数据处理效率的迫切需求
读SQL进阶教程笔记15_SQL编程思维_天天最资讯
i59400f_i59400F_世界热议
世界今亮点!徐克版《射雕》官宣引热议:肖战饰演郭靖、黄蓉是她!网友直呼别毁经典
焦点速讯:86.返回类型和return语句
用CPU来加速你的Linux命令 消息
最新消息:零余额账户是什么意思_零余额帐户是什么意思啊
天天讯息:AMD:RX 7900、FSR 2真是绝配!光追游戏爽翻天
影驰PCIe 5.0 SSD温度实测:小风扇立功了
张本智和丢冠原因揭晓!超级黑马崛起,表态要在世乒赛拿男单奖牌 最新资讯
全球快资讯:格林伍德即将回归顶级联赛,尤文有望签曼联弃将,博格巴成中间人
ASP.NET Core MVC 从入门到精通之序列化
网络基础 CAS协议学习总结_天天新资讯
环球观点:Git使用经验总结1