oasys系统代码审计
简述:oasys是一个OA办公自动化系统,利用Maven进行项目管理,基于springboot框架开发的项目,mysql底层数据库,前端采用freemarker模板引擎,Bootstrap作为前端UI框架,集成了jpa、mybatis等框架。
下载地址:https://github.com/misstt123/oasys
此项目部署极为简朴,我利用的是phpstudy的5.7版本mysql,修改application.properties配置,在IDEA导入oasys.sql数据后,就可以直接运行
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626386.png
并访问后台地址:http://localhost:8088/logins
留意别端口冲突
CSRF:
登录后台,在用户面板处,修改便签功能存在csrf毛病。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626387.png
点击修改,抓包,点击生成CSRF的Poc:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626388.png
将生成Poc的URL复制到浏览器,访问:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626389.png
访问后,发现已经按照Poc上内容进行了修改:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626390.png
SQL注入:
代码分析:
在pom文件发现采用mybatis依靠:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626391.png
全局搜刮${
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626392.png
找到outtype参数,定位到xml文件:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626393.png
符合sql注入条件,于是开始找对应接口,参数,全局搜刮allDirector字段:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626394.png
定位到接口层,于是找接口实现类,发现无,于是全局搜刮该接口名称,找哪里引用了此接口:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626395.png
发现AddController层引用该接口,并通过mapper进行数据库操作,在该controller层搜刮原接口方法,定位到具体代码块:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626396.png
可以看到该参数没有经过任何过滤,于是根据代码块解释进行毛病复现:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626397.png
在后台找到通讯录,找到外部通讯录,点击添加接洽人:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626398.png
抓包找到对应数据包:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626399.png
将localhost换成自己对应的IP,放入sqlmap验证乐成:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626400.png
其实从最初的xml文件来看,其它几个参数也存在sql注入。
【----帮助网安学习,以下全部学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】
① 网安学习成长路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC毛病分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证测验指南+题库
⑥ 超1800页CTF实战本领手册
⑦ 最新网安大厂口试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
存储XSS:
登录后台后,用户处点击修改信息,插入xss代码造成弹窗。
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626401.png
根据提交生存的接口全局搜刮:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626402.png
找到相关信息,根据代码分析,无任何过滤直接存储,造成xss毛病:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626403.png
此后台许多地方也均无过滤,可以直接插入xss代码实行。
任意文件读取毛病:
在控制层UserpanelController处,如下代码存在逻辑错误导致任意文件读取:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626404.png
可以看出此代码块是用来处置惩罚图像请求,并将数据返回到http响应的代码。
这段代码我初看并没看懂,于是对代码进行具体分析:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626405.png
红框代码逻辑很简朴,先传入的f.getPath()值,再通过FileInputStream进行文件读取并返回到http响应。
关键就是f.getPath()的值怎么来的?
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626406.png
如上红框代码,f.getPath()的值来自于rootpath与path的拼接,而path的值则是,先通过request.getRequestURI()获取,再将/image替换为空得来。
但rootpath的值呢?
于是我在该类搜刮rootpath找到其定义代码:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626407.png
发现以@Value注解定义rootpath的值,而@Value注解的作用就是从项目配置文件中获取信息,于是转到配置文件,搜刮关键字:rootpath
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626408.png
继续回到controller代码,此时找到rootpath的值,也明白了读取文件的逻辑,于是实行构造多个/image..路径读取我D盘upload下的文件:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626410.png
如下图,读取乐成:
https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202411061626411.png
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]