原文首发在:奇安信攻防社
https://forum.butian.net/share/2555
源码:https://github.com/jishenghua/jshERP/releases/tag/2.3
下载之后用idea导入
导入数据库文件
然后修改配置文件
然后启动
测试用户:jsh,密码:123456
因为是审计 在加上该cms用的是mybatis 那当然是sql注入最容易审了
因为mybatis的$ # 号的区别 一个拼接一个预编译 具体区别可自行百度
直接全局搜索${ 寻找拼接sql的地方
在这里发现一个在like后面进行拼接sql的 然后全局搜索countsByUser这个
发现在UserService里面的countUser函数调用了这个sql 然后全局找UserService调用countUser的地方
查看filter文件
.css#.js#.jpg#.png#.gif#.ico,/user/login#/user/registerUser#/v2/api-docs资源请求不拦截
继续往下看
因为是通过getRequestURI();来获取的
在看55行 只要包含这几个路径就放行 那么可以通过../来进行绕过
测试
没登录的情况下 访问home会302跳转
成功绕过
下面对于静态资源的校验也是一样的
跟进这个函数
返回true
也是成功绕过
后续其他接口啥的该方式都可对鉴权进行绕过 未授权对接口进行操作
比如
这个点是结合黑盒一起看的
先演示
修改备注 然后保存会发现直接弹xss了
然后每次点进来也会弹
分析
首先抓到保存的时候的包
从数据包也可以看到前端也是没有过滤的 然后根据数据包路由找到代码
找到controller层 然后跟进分析
可以看到获取到body参数的row 然后直接调用depotHeadService.updateDepotHeadAndDetail函数 继续跟进
因为从数据包里面看到xss语句是在row里面 直接看row传的地方
继续跟进函数
从数据包里面可以看到xss payload是在remark参数里面 继续找
一直跟到这里
最后来到这里 然后前面没有看到过滤的操作 继续跟进
就直接调用mapper执行数据库插入了 没有进行过滤
打断点 调试到这里也可以看到
这是存入的时候没有过滤 下面看输出的时候
点击编辑的时候会抓到这个包
根据路由全局找到代码
根据headerId来进行查询数据
查到数据也是直接返回 没有过滤 然后返回给前端
返回的json格式
然后来到前端页面 因为返回的是json格式前端肯定是发出ajax请求来获取数据的 直接来到页面搜索api:/depotItem/getDetailList
拿到数据后是通过datagrid来渲染的 也就没有过滤 所以造成了xss
datagrid可以自行百度一下
也就是说 其他地方也都是这种 存在存储xss 不止这一个页面
进入账号用户管理 然后编辑用户 重置密码
可以看到这里有一个id
然后根据路由来到代码的地方
在这里就校验了重置的账号是不是admin 没有其他鉴权操作 也就是说可以直接重置admin开外的所有账户
测试
登录test3
抓到cookie 替换到刚才的包
test2 id为135
这里越权重置密码之后 可以越权修改
越权2
越权修改密码
在第一个越权重置之后 修改密码的地方同样也可以越权
同样也没有什么鉴权
比对了一下旧密码 但因为之前已经重置 所以 也可以修改
像什么删除这些也是同样可以的
这个是直接能够访问的 通过接口泄露 也就可以知道前面越权的api接口
3.1新版都已修复
如sql注入
${ 改成了#{
#{} : 对读取到的参数先使用?来占位,然后去预编译SQL,最后再将?替换为形参值。
${} : 直接替换读取到的形参值,没有预编译的过程。
接口泄露的url也没了
其他也都类似
文章来源:亿人安全
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END