JEECG代码审计之文件上传
0x01 简述
JEECG(J2EE Code Generation)是一款基于代码生成器JEE的智能开发平台。引领新的开发模式(Online Coding->代码生成器->手工MERGE智能开发),可以帮助解决Java项目90%的重复工作,让开发更多关注业务逻辑。既能快速提高开发效率,帮助公司节省人力成本,同时又不失灵活性。
0x02 环境搭建
mysql5.7
idea、java7、tomcat7
jeecg3.8:https://github.com/chen-tj/jeecg3.8
-
下载源码,导入maven项目,刷新maven下载依赖
-
导入数据库,配置数据库文件(需要手动创建jeecg数据库)
-
配置tomcat启动
0x03 路由简介
JEECG快速开发平台基于spring MVC 框架
@Controller将一个类声明为控制器类,再通过@RequestMapping配置路由映射。
简单举例说明:
项目中src/main/java/com/jeecg/demo/controller/MultiUploadController.java文件
@RequestMapping("/multiUploadController")
@RequestMapping(params = "list")
对应的url地址为:http://localhost:8080/multiUploadController.do?list
访问http://localhost:8080/multiUploadController.do?list
RequestMapping的params参数: 指定request中必须包含某些参数值时,才让该方法处理。
因此访问:
http://localhost:8080/multiUploadController.do?list和
http://localhost:8080/multiUploadController.do?list=112313312都是一样的
0x04 漏洞复现
登陆后台后
访问:http://192.168.120.140:8080/jeecgFormDemoController.do?commonUpload
上传文件,抓包改名
返回包图片地址
成功访问
0x05 漏洞分析
通过url地址http://192.168.120.140:8080/jeecgFormDemoController.do?commonUpload寻找控制器
定位src/main/webapp/webpage/common/upload/uploadView.jsp
ModelAndView返回到视图文件system/commonupload/commonUploadFile
双击shift查找
分析代码,弹出了个div窗口,通过onclick事件调用了commonUpload函数
查看systemController控制器
传递到了common/upload/uploadView文件,层层寻找终于找到cgUploadController为最终的上传控制器
上传文件没有判断文件名后缀,导致直接getshell
/src/main/java/org/jeecgframework/web/cgform/controller/upload/CgUploadController.java
/**
* 自动上传保存附件资源的方式
* @return
*/
@RequestMapping(params = "ajaxSaveFile")
@ResponseBody
public AjaxJson ajaxSaveFile(MultipartHttpServletRequest request) {
AjaxJson ajaxJson = new AjaxJson();
Map<String, Object> attributes = new HashMap<String, Object>();
try {
Map<String, MultipartFile> fileMap = request.getFileMap();
String uploadbasepath = ResourceUtil.getConfigByName("uploadpath");
// 文件数据库保存路径
String path = uploadbasepath + "/";// 文件保存在硬盘的相对路径
String realPath = request.getSession().getServletContext().getRealPath("/") + "/" + path;// 文件的硬盘真实路径
realPath += DateUtils.getDataString(DateUtils.yyyyMMdd) + "/";
path += DateUtils.getDataString(DateUtils.yyyyMMdd) + "/";
File file = new File(realPath);
if (!file.exists()) {
file.mkdirs();// 创建文件时间子目录
}
if(fileMap != null && !fileMap.isEmpty()){
for (Map.Entry<String, MultipartFile> entity : fileMap.entrySet()) {
MultipartFile mf = entity.getValue();// 获取上传文件对象
String fileName = mf.getOriginalFilename();// 获取文件名
String swfName = PinyinUtil.getPinYinHeadChar(oConvertUtils.replaceBlank(FileUtils.getFilePrefix(fileName)));// 取文件名首字母作为SWF文件名
String extend = FileUtils.getExtend(fileName);// 获取文件扩展名
String noextfilename=DateUtils.getDataString(DateUtils.yyyymmddhhmmss)+StringUtil.random(8);//自定义文件名称
String myfilename=noextfilename+"."+extend;//自定义文件名称
String savePath = realPath + myfilename;// 文件保存全路径CgUploadController
write2Disk(mf, extend, savePath);
TSAttachment attachment = new TSAttachment();
attachment.setId(UUID.randomUUID().toString().replace("-", ""));
attachment.setAttachmenttitle(fileName.substring(0,fileName.lastIndexOf(".")));
attachment.setCreatedate(new Timestamp(new Date().getTime()));
attachment.setExtend(extend);
attachment.setRealpath(path + myfilename);
String globalSwfTransformFlag = ResourceUtil.getConfigByName("swf.transform.flag");
if("true".equals(globalSwfTransformFlag) && !FileUtils.isPicture(extend)){
attachment.setSwfpath( path + FileUtils.getFilePrefix(myfilename) + ".swf");
SwfToolsUtil.convert2SWF(savePath);
}
systemService.save(attachment);
attributes.put("url", path + myfilename);
attributes.put("name", fileName);
attributes.put("swfpath", attachment.getSwfpath());
attributes.put("fileid", attachment.getId());
}
}
ajaxJson.setAttributes(attributes);
} catch (Exception e) {
e.printStackTrace();
ajaxJson.setSuccess(false);
ajaxJson.setMsg(e.getMessage());
}
return ajaxJson;
}
MultipartFile mf = entity.getValue();// 获取上传文件对象
String fileName = mf.getOriginalFilename();// 获取文件名
String swfName = PinyinUtil.getPinYinHeadChar(oConvertUtils.replaceBlank(FileUtils.getFilePrefix(fileName)));// 取文件名首字母作为SWF文件名
String extend = FileUtils.getExtend(fileName);// 获取文件扩展名
String noextfilename=DateUtils.getDataString(DateUtils.yyyymmddhhmmss)+StringUtil.random(8);//自定义文件名称
String myfilename=noextfilename+"."+extend;//自定义文件名称
String savePath = realPath + myfilename;// 文件保存全路径CgUploadController
write2Disk(mf, extend, savePath);
write2Disk函数用的是FileOutputStream文件输出流
- 由于需要登陆才能上传,所以这里附上一个未授权漏洞
http://localhost:8080/webpage/system/druid/websession.json
