前言

前段時(shí)間的比賽將該cms作為了題目考察，這個(gè)cms的洞也被大佬們吃的差不多了，自己也就借此機(jī)會(huì)來淺淺測試下這個(gè)cms殘余漏洞，并記錄下這一整個(gè)流程，謹(jǐn)以此記給小白師傅們分享下思路，有錯(cuò)誤的地方還望大佬們請(qǐng)以指正。

安裝

參考官方文檔，給出了很詳細(xì)的安裝說明，如安裝遇到問題，可到官方論壇尋找解決方法，常見安裝失敗問題都有。

https://gitee.com/iteachyou/dreamer_cms#https://gitee.com/link?target=https%3A%2F%2Fwww.iteachyou.cc%2Farticle%2F55ec2939c29147eca5bebabf19621655

該cms項(xiàng)目是基于springboot框架開發(fā)的，安裝的時(shí)候需要的環(huán)境為 springboot+redis+mysql+ IDEA

配置文件主要是這兩個(gè)application-prd.yml和application-dev.yml，需要配置好mysql數(shù)據(jù)庫連接、redis連接以及網(wǎng)頁靜態(tài)資源路徑，其余的安裝上面的一步步安裝即可。

安裝成功后訪問登陸頁面

管理員賬號(hào)密碼已經(jīng)給了，直接登錄。

漏洞測試

風(fēng)格管理模板存在任意編輯文件實(shí)現(xiàn)命令執(zhí)行

經(jīng)測試，發(fā)現(xiàn)后臺(tái)風(fēng)格管理模板上傳主題壓縮包時(shí)可以進(jìn)行污染壓縮包theme.json文件，達(dá)到目錄穿越到服務(wù)器敏感目錄，從而在模板管理在解析時(shí)沒有進(jìn)行檢測可以任意編輯系統(tǒng)敏感文件導(dǎo)致GetShell，控制服務(wù)器權(quán)限。

漏洞產(chǎn)生的主要文件：主題上傳Controller文件：src/main/java/cc/iteachyou/cms/controller/admin/ThemesController.java， 找到add方法。

首先是判斷文件是否存在以及JSON解析是否正確；判斷Key是否都存在；判斷對(duì)應(yīng)值是否為空；創(chuàng)建theme對(duì)象；判斷設(shè)置路徑是否已"default"開頭。最后校驗(yàn)主題包各種配置是否正確。確認(rèn)的話就成功上傳。

【----幫助網(wǎng)安學(xué)習(xí)，以下所有學(xué)習(xí)資料免費(fèi)領(lǐng)！加vx：yj009991，備注 “博客園” 獲?。　?/p>

?、?網(wǎng)安學(xué)習(xí)成長路徑思維導(dǎo)圖
?、?60+網(wǎng)安經(jīng)典常用工具包
?、?100+SRC漏洞分析報(bào)告
　④ 150+網(wǎng)安攻防實(shí)戰(zhàn)技術(shù)電子書
?、?最權(quán)威CISSP 認(rèn)證考試指南+題庫
?、?超1800頁CTF實(shí)戰(zhàn)技巧手冊(cè)
　⑦ 最新網(wǎng)安大廠面試題合集（含答案）
?、?APP客戶端安全檢測指南（安卓+IOS）

但是沒有對(duì)themePath路徑問題進(jìn)行檢測，便可構(gòu)造目錄穿越，這也是該漏洞造成的關(guān)鍵原因。

最后是判斷上傳的壓縮包里的各類信息無誤后進(jìn)入處理保存文件邏輯的save方法。

在上傳的主題包里的\dreamer\dreamer-cms\templates\default_v3\theme.json文件，將目錄穿越的構(gòu)造替換主題包路徑，更改之后theme.json文件內(nèi)容如下：

{
    "themeName":"新版主題",
    "themeImage":"http://localhost:8888/resource/img/dreamercms-logo.png",
    "themeAuthor":"",
    "themePath":"../../../../../../../../../../../../../../"http://此路徑要和模板文件夾的名稱一致
}

雖然有檢測，但是在之前themeDir已經(jīng)被污染了，所以相當(dāng)于檢測相當(dāng)于沒有。接著檢查是否有權(quán)限，startwith方法也沒有問題。

``

最后就是保存文件。到此時(shí)后臺(tái)模板已被剛剛傳入的構(gòu)造污染，可以進(jìn)行利用，效果如下：

將修改后的主題包上傳

風(fēng)格頁面會(huì)多出一個(gè)新的主題

點(diǎn)擊啟用。然后查看模板管理頁面，發(fā)現(xiàn)目錄穿越成功，成功進(jìn)入服務(wù)器的根目錄，這時(shí)就相當(dāng)于在自己服務(wù)器上編輯修改文件。

測試文件為/home/www 目錄下的1.txt文件，原本是空文件。

在頁面修改該文件，添加內(nèi)容

然后保存，再到服務(wù)器里查看，成功將內(nèi)容加入。

如果修改authorized_key文件便可進(jìn)行免密登錄，利用壓縮校驗(yàn)不正確從而上傳任意危險(xiǎn)文件，例如一句話木馬等來獲取系統(tǒng)權(quán)限；還可以獲取系統(tǒng)passwd文件獲取敏感信息，也可以寫計(jì)劃任務(wù)進(jìn)行命令執(zhí)行。

該漏洞分析到此為止，接著是附件管理模板可以進(jìn)行任意文件下載、刪除。

#

附件管理模板可以進(jìn)行任意文件下載、刪除。

漏洞產(chǎn)生主要文件：

src/main/java/cc/iteachyou/cms/controller/admin/AttachmentController.java添加附件功能的代碼如下：

首先肯定是先添加附件，這里沒有對(duì)attachment參數(shù)進(jìn)行過濾。導(dǎo)致保存附件的時(shí)候目錄穿越的構(gòu)造就被保留了下來，對(duì)其進(jìn)行解析后就可以將服務(wù)器的指定文件隨意下載、刪除，從而對(duì)服務(wù)器構(gòu)成威脅。

下載、刪除功能的代碼都在同一個(gè)文件，都是通過剛剛的attachment參數(shù)，然后使用attachment.getFilepath()獲取服務(wù)器文件路徑，對(duì)其進(jìn)行解析。

先看下載功能的代碼：

這里也沒有對(duì) filePath變量進(jìn)行過濾，所以總的來說就是添加附件和下載附件的兩處代碼，都沒有對(duì)相應(yīng)的變量進(jìn)行檢測過濾，從而導(dǎo)致漏洞產(chǎn)生。

刪除功能的代碼：

刪除的話就沒什么好說的，和上面一樣的原理，試想下，如果可以任意刪除服務(wù)器的配置文件，那不就相當(dāng)于服務(wù)器要崩的節(jié)奏。

漏洞演示如下：

還是利用剛剛/home/www目錄下的1.txt文件

在添加附件模塊先隨便上傳一個(gè)本地文件（這里隨便上傳了一個(gè)theme.txt文件）

burpsuite抓包如下

需要改的就是這個(gè)filepath參數(shù)對(duì)應(yīng)的文件路徑，將其修改為

../../../../../../../../../../../../../home/www/1.txt

然后放包。

刷新頁面，觀察到多了一個(gè)theme.txt文件，下載下來并打開內(nèi)容如下：

服務(wù)器里的/home/www/1.txt里的內(nèi)容193840sswwloP 已成功寫入本地theme.txt文件，任意下載文件成功。

刪除效果，點(diǎn)擊右邊的刪除。

發(fā)現(xiàn)該1.txt文件被刪除了，任意刪除文件成功。

#

模板管理存在任意文件包含

產(chǎn)生漏洞的主要文件：src/main/java/cc/iteachyou/cms/taglib/tags/IncludeTag.java

If語句只是簡單判斷值是否為空，但是沒有檢測過濾字符，導(dǎo)致可以傳入目錄穿越的構(gòu)造../../../../../../../../../../../../../home/www/1.txt進(jìn)行文件包含，讀取里面內(nèi)容。接著在模板管理找到index_about.html

將../../../../../../../../../../../../../home/www/1.txt寫入div標(biāo)簽并保存，如下圖

接著訪問主頁里的關(guān)于我們：

可以看到，成功進(jìn)行了文件包含，如將構(gòu)造/home/www/1.txt換成/etc/passwd這類敏感文件，則被攻擊者獲取到關(guān)鍵信息，這里也測試下：修改構(gòu)造

頁面如期輸出/etc/passwd文件里的信息。

總結(jié)

本文測試是在該cms舊版本上進(jìn)行的，新版本對(duì)已有問題已進(jìn)行了修復(fù)，這次對(duì)該java實(shí)現(xiàn)的cms漏洞挖掘收獲滿滿，對(duì)cms安裝、部署以及代碼審計(jì)中要注意的點(diǎn)得到了良好的鍛煉。

更多網(wǎng)安技能的在線實(shí)操練習(xí)，請(qǐng)點(diǎn)擊這里>>

?文章來源地址http://www.zghlxwxcb.cn/news/detail-436589.html

到了這里，關(guān)于記一次springboot項(xiàng)目漏洞挖掘的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！