小型CMS漏洞复现审计

# 某小型CMS漏洞复现审计# 某小型CMS漏洞复现审计# 某小型CMS漏洞复现审计

[蚁景网安](javascript:void(0);)

![profile_qrcode](/mp/qrcode?scene=10000005&size=102&__biz=MzkyNTY3Nzc3Mg==&mid=2247488005&idx=1&sn=62d81de1aeddc3b12a7c5e00acfa04cb&send_time=)

蚁景网安

湖南蚁景科技有限公司

为信息安全领域的广大热衷者和爱好者，提供一系列精心挑选、深入剖析的文章推送服务。期待与您一起，共同推动信息安全领域的发展！

44篇原创内容

_2024年12月30日 16:30_ _湖南_

以下文章来源于蚁景网络安全 ，作者00101

[

![](http://wx.qlogo.cn/mmhead/Q3auHgzwzM7Yk0SeU4ibQcLl1mDLlqhbAOdK1Ik3EO85soOvkh9e8wQ/0)

**蚁景网络安全** .

致力于为你带来更实用的网络安全技术内容！

](https://mp.weixin.qq.com/s?__biz=MzkyNTY3Nzc3Mg==&mid=2247488005&idx=1&sn=62d81de1aeddc3b12a7c5e00acfa04cb#)

**SQL注入**

漏洞复现：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_8555800.17752720892856122.webp "null")

登陆后台，点击页面删除按钮，抓包：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_7684800.05231603126727902.webp "null")

rid参数存在sql注入，放入sqlmap检测成功：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1898820.9599938557686253.webp "null")

代码分析：

Ctrl+Shift+F检索路由：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_7132260.3155829375700999.webp "null")

定位具体代码，为删除功能：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_9306150.49159295105856027.webp "null")

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_9661700.7743083859417742.webp "null")

发现deleteByIds调用了传参rid,跟进：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1486920.9361096248614935.webp "null")

发现进入Dao层，此处依旧调用的deleteByIds，于是找ICommonDao接口实现类：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1281180.9547047831748127.webp "null")

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1968210.9198345367090413.webp "null")

定位到该类，发现以ids参数接受原先用户传入的rid参数，并在new一个sql对象后，直接将ids参数进行拼接，并通过原生jdbc执行返回结果。

**模板注入**

内容管理-文件管理-themes-flatweb-about.html，选择编辑，插入payload：

```
<#assign
```

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1214380.3986197807660272.webp "null")

访问首页，点击关与我们：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1615610.9644741639505829.webp "null")

执行命令，弹出计算机：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0824890.06133884338596651.webp "null")

代码分析：

配置文件存在freemark

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0897230.14938124922309515.webp "null")

**文件上传**

漏洞复现：

这个CMS感觉上传文件路径不是很好找，所以上传时先找个合适的目录再点击上传文件。

文件管理处点击admin进入目录：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1021760.8725702879404248.webp "null")

再点击文件上传：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0617810.15354947181296197.webp "null")

通过上传jsp马，不过需要以jspx或者jspf后缀绕过上传。

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1179130.9973943693904432.webp "null")代码分析：

上传时抓包，根据路由全局搜索：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1601330.5752066882021629.webp "null")

定位到具体代码段：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174435_9627120.7660039759870101.webp "null")

用filePath参数接受path参数与file参数拼接，再从filePth参数中取出文件名赋值给fname参数。

跟进getSuffix：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1457850.7574295411448191.webp "null")

发现只是以简单点来获取后缀。

检测是否为jsp文件后，如果不为则进入为空判断，并以FileOutputStream与write直接上传写入。

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_2116200.707483536641673.webp "null")

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1906910.600198305351966.webp "null")

**任意文件删除**

漏洞复现：

上传jsp马后，点击右方删除文件，抓包。

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1460060.9104876642481808.webp "null")

将下方数据包改为admin上级目录，删除我先前上传但没找到路径的test.jspx文件，删除成功：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1478030.5816101991527736.webp "null")

代码分析：

根据数据包在IDEA全局搜索，定位到delete代码段：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0951040.47460338093563326.webp "null")

该方法接收三个参数：path、name 和 data，这些参数通过 @RequestParam 注解从请求中提取，并进行简单拼接，赋值给file对象，此时file对象代表实际的文件名称。

跟进delete方法：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0864700.6765191649792099.webp "null")

发现对传入的path参数进行了检查，继续跟进：

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_1723990.6386092148048517.webp "null")

发现仅仅采用java自带的类java.security.AccessController下的checkPermission(Permission perm)静态方法校验权限。

如果权限满足便直接通过fs.delete()方法删除，造成任意文件删除漏洞。

![图片](https://wk.putdown.top/media/202412/2024-12-30_174436_0814370.4048772577163696.gif)

学习网安实战技能课程，戳“阅读原文”