这段常态化时期,每天都整理和学习历年能打穿小朋友的漏洞,本文转载自
https://forum.butian.net/share/2491 这个师傅写的真得很细
这篇文章是关于某系统模板注入漏洞的分析,具体内容如下:
-
漏洞概述
:
SQL注入分析
:
模板注入分析
:
-
进一步分析发现,程序在处理SQL语句时,使用了Freemarker模板,这导致了模板注入漏洞。
-
通过分析代码,发现传入的
sql
参数值被当作模板处理,Freemarker模板中的
语句可以创建一个继承自
TemplateModel
类的变量。
-
利用Freemarker的
Execute
类,可以执行系统命令,从而实现模板注入。
漏洞利用过程
:
修复措施
:
某系统前阵子公开了模板注入的漏洞,漏洞点在于程序对传入的sql语句处理时使用了freemarker模板渲染导致的问题。代码对该接口传参的处理先经过sql关键字的过滤,且分析中发现了一处可用的sql注入的payload,故先从sql注入开始介绍。
某系统前阵子公开了模板注入的漏洞,漏洞点在于程序对传入的sql语句处理时使用了freemarker模板渲染导致的问题。代码对该接口传参的处理先经过sql关键字的过滤,且分析中发现了一处可用的sql注入的payload,故先从sql注入开始介绍。
1.sql注入
下载源码后导入idea运行(使用mysql数据库)
先来看一眼公开的模板注入的payload,传参的字段和接口名称让人不免怀疑此处是否还有sql注入,于是看看接口逻辑
POST /jeecg-boot/jmreport/queryFieldBySql HTTP/1.1
Host: localhost:8080
Content-Type: application/json
Content-Length: 100
{"sql":"select '${value(\"whoami\")}'"}
反编译漏洞依赖包后导入idea,全局搜索queryFieldBySql定位漏洞代码如下
打上断点,bp发送payload({"sql":"select 1 from demo"}),开始调试
进入i.a()方法
定义了黑名单的sql关键字
String[] var1 = " exec |peformance_schema|information_schema|extractvalue|updatexml|geohash|gtid_subset|gtid_subtract| insert | alter | delete | grant | update | drop | chr | mid | master | truncate | char | declare |user()|".split("\|");
先调用b()方法匹配是否存在内联注释,在把传入的值全部转化为小写,在调用c()方法判断是否有sleep()函数的关键字,接着挨个和黑名单数组中的关键字逐一匹配,匹配到了则拦截并抛出异常
接着经过一大段基础配置的调用来到此方法,步入
又初始化了一些基本配置,由于此处paramArray传入为空,来到如下函数
跟进
步入发现函数去除了传入参数末尾的分号(如果有的话),又进行了一遍i.a()方法的拦截sql关键字。后由于传入var1为空,直接进入
var0 = a(var2,var0)
正则匹配 ”${“ 和 “}“ 之间的字符串存入hashmap中,我们的注入的payload此次明显是匹配不到的,接着进到如下方法
freemarker模板的方法,此处分析sql注入,暂时跳出
跟进
又是一些处理sql拦截的代码,匹配诸如 where/and/or/=等字符进行相应的过滤,接着回到此处向下执行
最终调用jeeecg的minidao层服务执行sql语句
分析下来发现程序对sql的传参基本只做了黑名单过滤,但是其中漏掉了exp()函数关键字的匹配,使用exp()函数即可实现报错注入
2.模板注入
接着分析上面提到的调用freemarker函数的地方,我们的payload “sql”参数的值作为var1 传入
跟进函数调用,默认var0为空,进行一些初始化后来到如下函数
创建一个名为"template"的模板对象,使用模板对象对var1和var3进行处理,故跟进process()方法
