Java代码审计项目--某在线教育开源系统

admin 2023年2月19日15:50:12评论145 views字数 5070阅读16分54秒阅读模式


目录

前台找回密码处验证码重复利用XSSSQL注入前台用户横向越权CSRF前台文件上传getshell

环境部署

  1. 下载源代码,使用IDEA进行部署,项目pom.xml进行maven依赖包添加、配置数据库账号密码、配置开启端口后即可使用tomcat7插件运行项目。

  2. 搭建过程遇见两个坑点:

    • mysql建议直接使用5.5.*版本的,高版本的会因为mysql的默认配置需要额外配置而遇见各种问题,虽然最后都能搭建成功,但是直接使用低版本的就无需额外配置。

    • 项目路径建议直接使用 http://IP:port 形式,后面不要配置额外的路径,加入额外项目配置后虽然可以部署成功,但是会导致一些页面或者图片加载不成功。

  3. 进行代码审计时,记得需要额外把srcmainwebappWEB-INFlib目录下的jar包反编译后再进行代码审计,因为使用IDEA进行源码关键字搜索时不会搜索jar包中的代码,我审计之前就没有注意到项目下的这个目录,导致前面审计过程中某些功能找不到源代码。

Java代码审计项目--某在线教育开源系统

项目结构分析

这是一个SSM(即Spring Framework、Spring MVC、MyBatis)架构项目。

百科是这样介绍的:

Java代码审计项目--某在线教育开源系统

  • pom.xml:审计maven项目首先应该查看pom.xm,通过查看此文件可以知道项目用了哪些组件及组件版本,这样可以快速查看组件对应的版本是否有漏洞。

    • 观察到项目使用了log4j 且版本为1.2.17,此版本存在反序列化漏洞CVE-2019-17571(经过分析,不存在此漏洞,因为本项目未使用产生此漏洞的类即SocketNode类)。

    • 还使用了druid 1.0.1 组件,可以找一些未授权接口(经过测试未发现此组件产生的未授权)。

    • mybatis 3.2.7 组件存在反序列化漏洞CVE-2020-26945(经过分析,不存在此漏洞,因为此项目未开启mybatis二级缓存功能)。

Java代码审计项目--某在线教育开源系统

  • web.xml:程序启动时会先加载这个文件,此文件用来配置Filter、Listener、Servlet。此文件需要重点关注Filter过滤器的全局配置。
    此项目只配置了两个全局的过滤器且这两个过滤器都未对输入输出进行转义之类的字符处理,所以未配置全局的XSS过滤。

Java代码审计项目--某在线教育开源系统

  • applicationContext.xml:spring的默认配置文件,当容器启动时找不到其他指定配置文档时,将加载这个配置文件,此文件也包含引用其他的配置文件。

Java代码审计项目--某在线教育开源系统

  • spring-mvc.xml:此文件主要的工作是:启动注解、扫描controller包注解;静态资源映射;视图解析(defaultViewResolver);文件上传(multipartResolver);返回消息json配置。
    Java代码审计项目--某在线教育开源系统
    web项目启动时,读取web.xml配置文件,首先解析的是applicationContext.xml文件,其次才是sping-mvc.xml文件。

  • Interceptor:拦截器,用于拦截用户请求并进行相应的处理。比如通过它来进行权限验证,或者是来判断用户是否登陆,或者是像12306 那样子判断当前时间是否是购票时间。
    此项目有3个拦截器,分别对前台用户、后台用户、网站配置管理处的用户是否登录与权限做相应处理。

Java代码审计项目--某在线教育开源系统

代码审计

前台找回密码处验证码重复利用

直接在代码中搜索关键字验证码,对相关代码进行分析。

此处是找回密码功能,先后获取客户端与服务端验证码进行校验,校验成功后进入校验邮箱是否注册,若未注册则直接返回结果,未删除服务端中的旧验证码,所以此处可对验证码重复使用来爆破出已经注册的邮箱。

Java代码审计项目--某在线教育开源系统

继续分析可知,邮箱存在且重置密码之后才清除服务端中的验证码。因为前台登录处无验证码,所以此处可配合登录处继续密码爆破。

Java代码审计项目--某在线教育开源系统

但是经过分析,后台管理员登录处就不存在验证码重复利用,因为验证码校验正确后就会立马进行清除。

Java代码审计项目--某在线教育开源系统

XSS

开头已经分析未发现全局的XSS过滤器,所以直接注册账号进行登录,见框就插入XSS payload。

在问答功能下的我要提问功能处发现存储型XSS。

Java代码审计项目--某在线教育开源系统

Java代码审计项目--某在线教育开源系统

此处只有标题有XSS而内容无XSS,找到对应的入口进行分析原因,questionsService.addQuestions()为添加问答方法,追踪此方法

QuestionsController-->QuestionsService-->QuestionsServiceImpl-->QuestionsDao-->QuestionsDaoImpl-->QuestionsMapper

根据追踪过程分析未做字符过滤就直接保存到数据库中。并且标题和内容都保存数据库中。

Java代码审计项目--某在线教育开源系统

Java代码审计项目--某在线教育开源系统

由此可知,存储过程标题和内容未做差异化处理,说明在输出的时候对内容进行了过滤,继续分析输出部分。由以上可知,存在XSS的url为http://127.0.0.1:8080/question/list

直接在*.jsp文件中搜索question/list找到对应的输出点。很明显标题处是直接拼接数据库中的值并未使用标签包裹,而内容处则使用了<c:out>标签。在jsp文件中,使用<c:out>标签是直接对代码进行输出而不当成js代码执行。

Java代码审计项目--某在线教育开源系统

自此,产生XSS的来龙去脉都已经知道了,所以输出变量时,没有使用<c:out>标签进行防护的都会产生XSS,经分析其他还有多处有XSS。

SQL注入

因为使用的时mybatis框架,所以直接在*Mapper.xml文件中搜索${即可。

发现存在多处使用${}进行拼接的地方,选择一处进行分析

Java代码审计项目--某在线教育开源系统

找到对应的controller层入口。此处为后台管理员用户删除文章功能处。

Java代码审计项目--某在线教育开源系统

抓取请求包直接使用sqlmap爆破即可。

Java代码审计项目--某在线教育开源系统

其他还有几处也存在sql注入。类似分析即可。有几处因为是直接拼接路径中的字符作为参数的,所以这种情况即使使用${}也不会造成sql注入。

前台用户横向越权

在用户修改个人资料时,直接抓包修改 user.userId参数值即可越权登录到其他存在的用户。

Java代码审计项目--某在线教育开源系统

分析代码可知,未对用户进行判断就直接把用户信息更新到数据库中,更新数据库中后直接使用userid进行自动重新登录从而可导致直接登录其他用户界面。

Java代码审计项目--某在线教育开源系统

CSRF

后台管理员创建用户处存在CSRF漏洞,攻击者可结合此系统的XSS漏洞构造恶意代码从而导致创建系统管理员用户。

Java代码审计项目--某在线教育开源系统

可用burpsuite自带的CSRF工具生成payload进行测试。

Java代码审计项目--某在线教育开源系统

从代码处可知,未对请求体校验Referer字段,也无token机制。因此可造成CSRF。

Java代码审计项目--某在线教育开源系统

前台文件上传getshell

前置知识点

jspx:以xml语法来书写jsp的文件,自定义的映射类型,jspx=jsp+xml;jspx文件本身符合xml的规范,但是它本质又是一个jsp文件,所以在所有jsp里面能够做到的事情在jspx里同样可以做到。

tomcat的web.xml中org.apache.jasper.servlet.Jspservlet配置关于jsp服务的解析,默认是都会解析jsp和jspx。

Java代码审计项目--某在线教育开源系统

此处漏洞发生在前台用户上传头像处。

Java代码审计项目--某在线教育开源系统

直接找到源代码进行分析,源码在srcmainwebappWEB-INFlibinxedu-jar.jar包中。

此处的fileType即为前端传入的文件类型后缀,分析代码可知,此处只过滤了jsp文件其他文件可随意上传,可以上传html文件造成XSS漏洞,由于此项目使用tomcat,所以可以上传jspx文件getshell。

Java代码审计项目--某在线教育开源系统

使用哥斯拉工具生成jspx木马上传文件,上传成功。

Java代码审计项目--某在线教育开源系统

连接成功。

Java代码审计项目--某在线教育开源系统


本文作者:smworld, 转载请注明来自FreeBuf.COM

【Hacking黑白红】,一线渗透攻防实战交流公众号

Java代码审计项目--某在线教育开源系统

回复“电子书”获取web渗透、CTF电子书:

回复“视频教程”获取渗透测试视频教程;  

回复“内网书籍”获取内网学习书籍;        

回复“CTF工具”获取渗透、CTF全套工具;

回复“内网渗透;获取内网渗透资料;

回复护网;获取护网学习资料 ;

回复python,获取python视频教程;

回复java,获取Java视频教程;

回复go,获取go视频教程


知识星球



【Hacking藏经阁】知识星球致力于分享技术认知

1、技术方面。主攻渗透测试(web和内网)、CTF比赛、逆向、护网行动等;

400G渗透教学视频、80多本安全类电子书、50个渗透靶场(资料主要来自本人总结、以及学习过程中购买的课程)

2、认知方面。副业经营、人设IP打造,具体点公众号运营、抖*yin等自媒体运营(目前主要在运营两个平台4个号)。


如果你也想像我一样,不想35岁以后被动的去面试,那么加入星球我们一起成长。






Java代码审计项目--某在线教育开源系统


欢迎加入99米/年,平均每天2毛7分钱,学习网络安全一整年。


Java代码审计项目--某在线教育开源系统





渗透实战系列



【渗透实战系列】51|- 一次BC站点的GetShell过程

【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇

【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置

【渗透实战系列】|48-一次内网渗透

渗透实战系列】|47-记一次对某鱼骗子卖家的溯源

【渗透实战系列】|46-渗透测试:从Web到内网

【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

【渗透实战系列】|44-记一次授权渗透实战(过程曲折,Java getshell)

【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

【渗透实战系列】|42-防范诈骗,记一次帮助粉丝渗透黑入某盘诈骗的实战

【渗透实战系列】|41-记一次色*情app渗透测试

【渗透实战系列】|40-APP渗透测试步骤(环境、代理、抓包挖洞)

▶【渗透实战系列】|39-BC渗透的常见切入点(总结)

【渗透实战系列】|38-对某色情直播渗透

【渗透实战系列】|37-6年级小学生把学校的网站给搞了!

【渗透实战系列】|36-一次bc推广渗透实战

【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

【渗透实战系列】|32-FOFA寻找漏洞,绕过杀软拿下目标站

【渗透实战系列】|31-记一次对学校的渗透测试

【渗透实战系列】|30-从SQL注入渗透内网(渗透的本质就是信息搜集)

【渗透实战系列】|29-实战|对某勒索APP的Getshell

【渗透实战系列】|28-我是如何拿下BC站的服务器

【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试(成功获取管理员真实IP)

【渗透实战系列】|26一记某cms审计过程(步骤详细)

【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

【渗透实战系列】|23-某菠菜网站渗透实战

【渗透实战系列】|22-渗透系列之打击彩票站

【渗透实战系列】|21一次理财杀猪盘渗透测试案例

【渗透实战系列】|20-渗透直播网站

【渗透实战系列】|19-杀猪盘渗透测试

【渗透实战系列】|18-手动拿学校站点 得到上万人的信息(漏洞已提交)

【渗透实战系列】|17-巧用fofa对目标网站进行getshell

【渗透实战系列】|16-裸聊APP渗透测试

【渗透实战系列】|15-博彩网站(APP)渗透的常见切入点

【渗透实战系列】|14-对诈骗(杀猪盘)网站的渗透测试

【渗透实战系列】|13-waf绕过拿下赌博网站

【渗透实战系列】|12 -渗透实战, 被骗4000花呗背后的骗局

【渗透实战系列】|11 - 赌博站人人得而诛之

【渗透实战系列】|10 - 记某色X商城支付逻辑漏洞的白嫖(修改价格提交订单)

【渗透实战系列】|9-对境外网站开展的一次web渗透测试(非常详细,适合打战练手)

【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程(详细到无语)

【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

【渗透实战系列】|6- BC杀猪盘渗透一条龙

【渗透实战系列】|5-记一次内衣网站渗透测试

【渗透实战系列】|4-看我如何拿下BC站的服务器

【渗透实战系列】|3-一次简单的渗透

【渗透实战系列】|2-记一次后门爆破到提权实战案例

【渗透实战系列】|1一次对跨境赌博类APP的渗透实战(getshell并获得全部数据)

Java代码审计项目--某在线教育开源系统

    

长按-识别-关注

Java代码审计项目--某在线教育开源系统

Hacking黑白红

一个专注信息安全技术的学习平台

Java代码审计项目--某在线教育开源系统

点分享

Java代码审计项目--某在线教育开源系统

点收藏

Java代码审计项目--某在线教育开源系统

点点赞

Java代码审计项目--某在线教育开源系统

点在看

原文始发于微信公众号(Hacking黑白红):Java代码审计项目--某在线教育开源系统

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月19日15:50:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Java代码审计项目--某在线教育开源系统http://cn-sec.com/archives/1560933.html

发表评论

匿名网友 填写信息