Jeecgboot|SpringKill的0day越权issue提交过程

admin 2024年7月16日23:16:39评论84 views字数 994阅读3分18秒阅读模式

此文章由SpringKiller安全研究师傅产出,这位佬是一个能独立开发一款企业级IAST,伸手0day伸脚1day,能手搓操作系统用脚逆向的师傅,还是OWASP的代码贡献者之一。哦,差点忘了,这个师傅能书会画,上厅堂下厨房无所不能,现在是甲方大爹。呆哥建议爱学习的可以找他击剑一下。

SpringKill师傅的Github地址:https://github.com/springkill

sdfd

01

大爹发问

Jeecgboot|SpringKill的0day越权issue提交过程

02

Jeecg介绍

JeecgBoot是一款基于BPM的低代码平台!前后端分离架构 SpringBoot 2.x/3.x,SpringCloud,Ant Design&Vue3,Mybatis-plus,Shiro,JWT,支持微服务。强大的代码生成器让前后端代码一键生成,实现低代码开发!JeecgBoot引领新低代码开发模式 OnlineCoding-> 代码生成器-> 手工MERGE, 帮助Java项目解决70%的重复工作,让开发更多关注业务,既能快速提高效率,节省研发成本,同时又不失灵活性!一系列低代码能力:Online表单、Online报表、Online图表、仪表盘/门户设计、表单设计、流程设计、报表设计、大屏设计 等等...

03

issue地址

https://github.com/jeecgboot/JeecgBoot/issues/5270#issuecomment-2227227632

Jeecgboot|SpringKill的0day越权issue提交过程

该漏洞通过使用低权限账号,通过接口组合关联roleId和userId将当前用户绑定进管理员组中,从而进行接管控制管理员后台。

大致描述一下SpringKill对该漏洞的发现过程:在对项目审查过程中发现接口的@RequiresPermissions缺失,从而引发某人瞎鸡儿看看,上手抓了两个包随手一试,就出来了问题,对某人来说吧这是没啥含量的,但是某人最近给甲方内部建设开发项目,没空给呆哥研究文章了。

04

漏洞详情

01

版本号

 3.5.3

02

前端版本

 Vue3

03

过程

 创建一个新用户testup,不给任何权限:

Jeecgboot|SpringKill的0day越权issue提交过程

使用testup登录,拿到没权限的token,发送如下数据包拿到admin1组的id和用户id:

Jeecgboot|SpringKill的0day越权issue提交过程

Jeecgboot|SpringKill的0day越权issue提交过程

Jeecgboot|SpringKill的0day越权issue提交过程

Jeecgboot|SpringKill的0day越权issue提交过程

用拿到的数据作为内容,发送:

Jeecgboot|SpringKill的0day越权issue提交过程

重新登陆,完成权限提升,后面的手动添加组就行了不用发包:

Jeecgboot|SpringKill的0day越权issue提交过程

原文始发于微信公众号(嗨嗨安全):Jeecgboot|SpringKill的0day越权issue提交过程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月16日23:16:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Jeecgboot|SpringKill的0day越权issue提交过程https://cn-sec.com/archives/2962222.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息