JEECG代码审计之文件上传
2022-03-21 23:03:05 # 漏洞复现 #代码审计 #文件上传

简述

JEECG(J2EE Code Generation)是一款基于代码生成器JEE的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MERGE智能开发),可以帮助解决Java项目90%的重复工作,让开发更多关注业务逻辑。既能快速提高开发效率,帮助公司节省人力成本,同时又不失灵活性。

采用SpringMVC + Hibernate + Minidao(类Mybatis) + Easyui(UI库)+ Jquery + Boostrap + Ehcache + Redis + Ztree + Vue + Boostrap-table + ElementUI等基础架构

环境搭建

下载源码,导入IDEA,刷新maven

image-20220321230716028

创建jeecg数据库,修改数据库配置文件

image-20220321230803872

navicat导入sql文件

image-20220321232942517

image-20220321233012479

配置tomcat8启动,试了tomcat9发现报错

image-20220321234119733

启动完成后,访问http://localhost:8080/jeecg_war_exploded/loginController.do?login

image-20220321234043921

路由简介

JEECG快速开发平台基于spring MVC 框架,以下就是常见的注解:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
一、组件型注解:
@Component:在类定义之前添加@Component注解,他会被spring容器识别,并转为bean。
@Repository:对Dao实现类进行注解 (特殊的@Component)
@Service:用于对业务逻辑层进行注解, (特殊的@Component)
@Controller:用于控制层注解 , (特殊的@Component)
以上四种注解都是注解在类上的,被注解的类将被spring初始话为一个bean,然后统一管理。
二、请求和参数型注解:
@RequestMapping:用于处理请求地址映射,可以作用于类和方法上。
	value:定义request请求的映射地址
	method:定义地request址请求的方式,包括【GET, POST, DELETE ...】默认接受get请求,如果请求方式和定义的方式不一样则请求无法成功。
	params:定义request请求中必须包含的参数值。
	headers:定义request请求中必须包含某些指定的请求头,如:RequestMapping(value = "/something", headers = "content-type=text/*")说明请求中必须要包含"text/html", "text/plain"这中类型的Content-type头,才是一个匹配的请求。
	consumes:定义请求提交内容的类型。
	produces:指定返回的内容类型,仅当request请求头中的(Accept)类型中包含该指定类型才返回
@RequestParam:用于获取传入参数的值
	value:参数的名称
	required:定义该传入参数是否必须,默认为true,(和@RequestMapping的params属性有点类似)
@PathViriable:用于定义路径参数值
	value:参数的名称
	required:定义传入参数是否为必须值
@ResponseBody:作用于方法上,可以将整个返回结果以某种格式返回,如json或xml格式。
@CookieValue:用于获取请求的Cookie值
@ModelAttribute:用于把参数保存到model中,可以注解方法或参数,注解在方法上的时候,该方法将在处理器方法执行之前执行,然后把返回的对象存放在 session(前提时要有@SessionAttributes注解) 或模型属性中,@ModelAttribute(“attributeName”) 在标记方法的时候指定,若未指定,则使用返回类型的类名称(首字母小写)作为属性名称
@SessionAttributes:可以使得模型中的数据存储一份到session域中。配合@ModelAttribute("user")使用的时候,会将对应的名称的model值存到session中

漏洞复现

登陆后台后,访问:http://localhost:8080/jeecg_war_exploded/jeecgFormDemoController.do?commonUpload

image-20220322012447636

上传文件,抓包改名

image-20220322013904920

冰蝎连接成功

image-20220322013928988

这里还存在一个未授权访问的漏洞

http://localhost:8080/jeecg_war_exploded/webpage/system/druid/websession.json

image-20220322020827359

漏洞分析

通过url地址http://127.0.0.1:8080/jeecg_war_exploded/cgUploadController.do?ajaxSaveFile&sessionId=寻找控制器,全局搜索`@RequestMapping("/cgUploadController")`

定位\src\main\java\org\jeecgframework\web\cgform\controller\upload\CgUploadController.java,在cgUploadController.do后面还跟了参数ajaxSaveFile,我们当前这个CgUploadController.java中搜索ajaxSaveFile,定位到如下代码:

image-20220322015102321

可以看到上传文件没有判断文件名后缀,直接调用write2Disk函数

image-20220322015441618

看下write2Disk函数,改函数传递三个参数,第一个为文件对象,第二个为文件拓展名,第三个为文件保存的路径,函数首先判断extend也就是拓展名是不是txt

image-20220322015717181

因为这里我们上传的是jsp,所以走的是else语句,代码如下:

image-20220322015847752

直接调用FileCopyUtils#copy方法

1
FileCopyUtils.copy(mf.getBytes(), savefile);

继续跟进copy函数,代码的意思是将文件的二进制数组转换成字节数组输入流,然后定义一个输出流outStream,将两个当做参数调用另一个copy方法

image-20220322020048358

看到这个copy函数的代码,就很明显了,就是将文件输入流中的内容拷贝到输出流中,也就是将上传的文件保存到指定的路径中

image-20220322020420167

接着往下

image-20220322020630209

最后跟进到这个copy方法中,完成输入流到输出流的拷贝

image-20220322020653434

参考

https://mp.weixin.qq.com/s/mV4GNI9O4a1pT3ve3Mt75Q

上一页
2022-03-21 23:03:05 # 漏洞复现 #代码审计 #文件上传
下一页