HVV前沿 | 积木报表组件(Jeecg-Boot)权限绕过漏洞分析

2024-08-28 02:20

本文主要是介绍HVV前沿 | 积木报表组件(Jeecg-Boot)权限绕过漏洞分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

漏洞概述

JeecgBoot是适用于企业 Web 应用程序的国产Java低代码平台。

近期,网宿安全演武实验室监测到JeecgBoot JimuReport 1.7.8版本及之前版本存在安全漏洞(网宿评分:高危):该漏洞源于权限设置不安全,攻击者在请求中添加特定参数,即可绕过授权机制,从而查看敏感信息并通过 Aviator 表达式注入在1.6.0版本后实现远程代码执行。

目前该漏洞POC状态已在互联网公开,建议用户尽快做好自查及防护。

受影响版本

JimuReport <= 1.7.8

漏洞分析

首先看权限绕过问题的成因,以历史漏洞接口/jeecg-boot/jmreport/queryFieldBySql为例。

显然这里已经做了权限限制,而/jeecg-boot/jmreport/**具体的拦截器实现在

org.jeecg.modules.jmreport.config.firewall.interceptor.JimuReportTokenInterceptor#preHandle()。

这是一个返回值为boolean类型的public方法,主要对用户请求进行了一些预处理和判断,那么只要在校验token前使其返回true,即可实现权限绕过。

当我们请求/jeecg-boot/jmreport/queryFieldBySql时,该方法先进行了xss检测。

String var4 = d.i(request.getRequestURI().substring(request.getContextPath().length()));
log.debug("JimuReportInterceptor check requestPath = " + var4);
int var5 = 500;
if (n.a(var4)) {log.error("请注意,请求地址有xss攻击风险!" + var4);this.backError(response, "请求地址有xss攻击风险!", var5);return false;
}

public class n {private static final String[] a = new String[]{"<", "%3C", ">", "%3E", "\\(", "%28", "\\)", "%29", "'", "eval\\((.*)\\)"};private static Pattern[] b = new Pattern[]{Pattern.compile("<script>(.*?)</script>", 2), Pattern.compile("src[\r\n]*=[\r\n]*\\'(.*?)\\'", 42), Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", 42), Pattern.compile("</script>", 2), Pattern.compile("<script(.*?)>", 42), Pattern.compile("eval\\((.*?)\\)", 42), Pattern.compile("e\u00adxpression\\((.*?)\\)", 42), Pattern.compile("javascript:", 2), Pattern.compile("vbscript:", 2), Pattern.compile("onload(.*?)=", 42)};...private static boolean a(String var0, Pattern var1) {Matcher var2 = var1.matcher(var0);return var2.find();}...
}

并且对/jmreport/shareView/和JimuNoLoginRequired注解的路由直接放行。

if (var4.contains("/jmreport/shareView/")) {return true;
}

JimuNoLoginRequired var9 = (JimuNoLoginRequired)var8.getAnnotation(JimuNoLoginRequired.class);
if (j.d(var9)) {return true;
}

接着通过jwt验证用户传入token的合法性。

try {var10 = this.verifyToken(request);
} catch (Exception var14) {
}

public static boolean verifyToken(String token, CommonAPI commonApi, RedisUtil redisUtil) {if (StringUtils.isBlank(token)) {throw new JeecgBoot401Exception("token不能为空!");}// 解密获得username,用于和数据库进行对比String username = JwtUtil.getUsername(token);if (username == null) {throw new JeecgBoot401Exception("token非法无效!");}// 查询用户信息LoginUser user = TokenUtils.getLoginUser(username, commonApi, redisUtil);//LoginUser user = commonApi.getUserByName(username);if (user == null) {throw new JeecgBoot401Exception("用户不存在!");}// 判断用户状态if (user.getStatus() != 1) {throw new JeecgBoot401Exception("账号已被锁定,请联系管理员!");}// 校验token是否超时失效 & 或者账号密码是否错误if (!jwtTokenRefresh(token, username, user.getPassword(), redisUtil)) {throw new JeecgBoot401Exception(CommonConstant.TOKEN_IS_INVALID_MSG);}return true;
}

显然攻击者未持有合法token,继续往下走发现如果访问的路由在白名单内即放行。

if (!var10) {if (this.jimuReportShareService.isSharingEffective(var4, request)) {return true;} else {...}
}

GET_QUERY_INFO("/jmreport/getQueryInfo"),
SHARE_VERIFICATION("/jmreport/share/verification"),
ADD_VIEW_COUNT("/jmreport/addViewCount/"),
SHOW_DATA("/jmreport/show"),
EXPORT_PDF_STREAM("/jmreport/exportPdfStream"),
EXPORT_ALL_EXCEL_STREAM("/jmreport/exportAllExcelStream"),
CHECK_PARAM("/jmreport/checkParam/"),
QUERYMAP_BY_CODE("/jmreport/map/queryMapByCode"),
QUREST_SQL("/jmreport/qurestSql"),
QUREST_API("/jmreport/qurestApi"),
GET_CHAR_DATA("/jmreport/getCharData");

但/jeecg-boot/jmreport/queryFieldBySql未在其中,与此同时我们发现接下来的else分支存在突破点,只要用户在请求中携带previousPage参数,且使isShareingToken方法返回true,即可成功绕过拦截器。

else {String var16 = request.getParameter("previousPage");if (j.d(var16)) {if (this.jimuReportShareService.isShareingToken(var4, request)) {return true;}...
}

步入isShareingToken方法。

public boolean isShareingToken(String requestPath, HttpServletRequest request) {String var3 = request.getHeader("JmReport-Share-Token");String var4 = "";if (j.c(var3)) {var3 = request.getParameter("shareToken");}String var5 = request.getParameter("jmLink");if (j.d(var5)) {try {byte[] var6 = Base64Utils.decodeFromString(var5);String var7 = new String(var6);String[] var8 = var7.split("\\|\\|");if (ArrayUtils.isNotEmpty(var8) && var8.length == 2) {var3 = var8[0];var4 = var8[1];}} catch (IllegalArgumentException var9) {a.error("解密失败:" + var9.getMessage());a.error(var9.getMessage(), var9);return false;}}if (j.c(var3)) {return false;} else {JimuReportShare var10 = this.jimuReportShareDao.getShareByShareToken(var3);if (var10 != null) {var10 = this.compareToDate(var10);if (!"0".equals(var10.getStatus())) {return false;}}if (requestPath.startsWith("/jmreport/view")) {if (!j.d(var4)) {return false;}Long var11 = this.jimuReportLinkDao.selectLinkCountByLinkId(var4);if (null != var11 && var11 > 0L) {return true;}}return true;}
}

不难发现其先提取解码后的jmLink参数值赋给var3、var4,并交由getShareByShareToken判断share_token有效性,但显然攻击者传入的值,在数据库中是查不到对应的 JimuReportShare 对象的,即var10为null。

@Sql("select status,share_token,last_update_time,term_of_validity from jimu_report_share where share_token = :shareToken")
JimuReportShare getShareByShareToken(@Param("shareToken") String var1);

而这里之后又辨别了路由是否以/jmreport/view开头,如果不是则返回true,显然我们请求的路由不包括在内。

所以实际环境验证成功。

接着根据漏洞情报(https://github.com/jeecgboot/JimuReport/issues/2848),可定位至/jeecg-boot/jmreport/save和/jeecg-boot/jmreport/show两个接口。

对应函数分别为:

org.jeecg.modules.jmreport.desreport.service.a.e#saveReport()
org.jeecg.modules.jmreport.desreport.service.a.e#show()

前者的作用是将用户的报表数据保存至数据库,后者则是通过前面传入的id提取数据。

@GetMapping({"/show"})
public Result<?> a(@RequestParam(name = "id") String var1, HttpServletRequest var2) {a.info("--------进入show方法-----------, id = " + var1);String var3 = var2.getParameter("params");try {return this.jmReportDesignService.show(var1, var3, (List)null);} catch (Exception var5) {a.error(var5.getMessage(), var5);return Result.error(var5.getMessage());}
}

至于漏洞字段,则位于org.jeecg.modules.jmreport.desreport.express.a#c(),这里限制了传入格式,即只解析”text”字段中,通过=()包含的值。

String var9 = var8.getString("text");
if (var9 != null && !var9.isEmpty()) {var9 = var9.trim();Pattern var10 = Pattern.compile("^([^=]*)(=[A-Z_.a-z0-9]*\\(.*\\))(([*/+\\-][0-9]+)*)(.*)");Matcher var11 = var10.matcher(var9);String var12;String var15;if (var11.find()) {var12 = var11.group(2);String var13 = var12.substring(var12.startsWith("=") ? 1 : 0, var12.indexOf("("));if (ExpressUtil.f.contains(var13.toLowerCase())) {String var14 = var11.group(1);var15 = var11.group(3);String var16 = var11.group(5);var8.put("jeTempText", var14 + "$expVal$" + var16);var9 = var12.trim() + var15.trim();var8.put("text", var9);}}
...

最终编译攻击者传入的payload。

public Expression compile(String expression, boolean cached) {return this.compile(expression, expression, cached);
}

漏洞复现

首先通过/jeecg-boot/jmreport/save,构造恶意报表数据。

再借助/jeecg-boot/jmreport/show根据id提取数据,即可触发该漏洞。

修复方案

不推荐直接将脚本的执行开放到任何不可信的环境,如果确实需要,可以参考https://www.yuque.com/boyan-avfmj/aviatorscript/ou23gy#elOSu,设置必要的选项。

产品支持

网宿全站防护-WAF已支持对该漏洞利用攻击的防护,并持续挖掘分析其他变种攻击方式和各类组件漏洞,第一时间上线防护规则,缩短防护“空窗期”。

这篇关于HVV前沿 | 积木报表组件(Jeecg-Boot)权限绕过漏洞分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1113454

相关文章

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景

在Spring Boot中集成RabbitMQ的实战记录

《在SpringBoot中集成RabbitMQ的实战记录》本文介绍SpringBoot集成RabbitMQ的步骤,涵盖配置连接、消息发送与接收,并对比两种定义Exchange与队列的方式:手动声明(... 目录前言准备工作1. 安装 RabbitMQ2. 消息发送者(Producer)配置1. 创建 Spr

深度解析Spring Boot拦截器Interceptor与过滤器Filter的区别与实战指南

《深度解析SpringBoot拦截器Interceptor与过滤器Filter的区别与实战指南》本文深度解析SpringBoot中拦截器与过滤器的区别,涵盖执行顺序、依赖关系、异常处理等核心差异,并... 目录Spring Boot拦截器(Interceptor)与过滤器(Filter)深度解析:区别、实现

如何在Spring Boot项目中集成MQTT协议

《如何在SpringBoot项目中集成MQTT协议》本文介绍在SpringBoot中集成MQTT的步骤,包括安装Broker、添加EclipsePaho依赖、配置连接参数、实现消息发布订阅、测试接口... 目录1. 准备工作2. 引入依赖3. 配置MQTT连接4. 创建MQTT配置类5. 实现消息发布与订阅

python中Hash使用场景分析

《python中Hash使用场景分析》Python的hash()函数用于获取对象哈希值,常用于字典和集合,不可变类型可哈希,可变类型不可,常见算法包括除法、乘法、平方取中和随机数哈希,各有优缺点,需根... 目录python中的 Hash除法哈希算法乘法哈希算法平方取中法随机数哈希算法小结在Python中,

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重

关于MyISAM和InnoDB对比分析

《关于MyISAM和InnoDB对比分析》:本文主要介绍关于MyISAM和InnoDB对比分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录开篇:从交通规则看存储引擎选择理解存储引擎的基本概念技术原理对比1. 事务支持:ACID的守护者2. 锁机制:并发控制的艺