&

金和OA系統(tǒng)代碼審計之挖掘0day，未公開poc

當(dāng)前位置：點晴教程→點晴OA辦公管理信息系統(tǒng) →『經(jīng)驗分享&問題答疑』

admin

2025年5月8日 23:23 本文熱度 630

參與的眾測項目，資產(chǎn)非常難挖掘漏洞，所以只能通過審計的方式，找找漏洞點

資產(chǎn)里相對用的多的 oa，都是用友，泛微，致遠(yuǎn)等大型 oa，對我這種小菜來說，直接上手有點難度，無意間發(fā)現(xiàn)了金和系統(tǒng)，就直接來審計學(xué)學(xué)，剛開始找網(wǎng)盤資料，發(fā)現(xiàn)有個 net 版的源碼，結(jié)果目標(biāo)系統(tǒng)是 jsp，就 G 了。

然后就找朋友要了安裝包，對源碼進行分析，跟蹤路由，審計漏洞點。

但是有一點就是sbcp是真他媽惡心，水平越權(quán)，只因 id 不易猜測，直接駁回，任意密碼重置，通過 id，可直接重置密碼，不需要驗證，也是因為 id 不易猜測。真他媽氣打不一出來

你他馬勒戈壁，回答我，你的安全是誰教的，這他媽不是漏洞嗎，look in my eyes

路由關(guān)系尋找

開始正題，第一次審計，所以不太了解路由關(guān)系，大致看了看代碼結(jié)構(gòu)，發(fā)現(xiàn)相對簡單點。

整體文件那么多，主要是關(guān)注 WEB-INF/jsp 文件夾，這是對應(yīng)的視圖文件，也就是訪問 web 頁面的 jsp 文件。

我并沒有分析那些需要鑒權(quán)，那些不需要鑒權(quán)。

這個網(wǎng)上有個模板注入漏洞，我是根據(jù)對應(yīng)的二級目錄來找的相關(guān)漏洞點，后面也是發(fā)現(xiàn)了注入，但是是Hibernate，構(gòu)造半天沒讀出來數(shù)據(jù)庫名

jc6/platform/portalwb/portalwb-con-template!viewConTemplate.action

然后就是根據(jù)portalwb目錄下的文件去挖掘注入。

然后再其次就是關(guān)注后臺文件，也就是 lib 下的 jcs-xx.jar文件，這才是后端代碼。

根據(jù)上面的路徑

jc6/platform/portalwb/portalwb-con-template

就可以知道，對應(yīng)的 jar 就是 jcs-platform-java-xxxxxx.jar。

HQL注入

經(jīng)過我不懈的努力，在 jsp 頁面中，找到了一個參數(shù)

那如何在后段代碼，找到對應(yīng)方法呢

很簡單，例如：

main.action!viewConTemplate.action==main.action?方法名=viewConTemplate

portalweb-datasource.jsp則是前端的文件，后端也會存在對應(yīng)的路由，然后方法名則是下面的，getTemplateOpt

這里有typeFlag參數(shù)，我們跟蹤getAllTemplates方法

直接對應(yīng)了接口名稱，往下跟，就到了數(shù)據(jù)庫層面了

   @Override   public List<TblPortalwbConTemplete> getAllTemplates(String typeFlag) {      String hql = " from TblPortalwbConTemplete  t where   t.commRecordIdenty= '1' and t.typeFlag like '%" + typeFlag + "%'";      return this.find(hql);   }

直接是拼接的 sql 語句

于是就可以構(gòu)造請求方法了

jc6/platform/portalwb/dataSource/portalwb-data-source!getTemplateOpt.action?moduId=1&typeFlag=1

僅限于 or 1=1 也嘗試構(gòu)造數(shù)據(jù)包讀取數(shù)據(jù)庫

SQL 注入

于是放棄對業(yè)務(wù)數(shù)據(jù)的審計，翻了翻下面的 jar 包

jcs-eform-java-1.5.0-SNAPSHOT.jar

clobfield這個接口，網(wǎng)上有，也是我審計之后發(fā)現(xiàn)的，不過目標(biāo)系統(tǒng)存在這個接口，注入點變成了sKeyname

通過req獲取請求參數(shù)，參數(shù)跟進

clobfield1 存在查詢語句

直接拼接，無過濾

構(gòu)造訪問參數(shù)，需要滿足key包含readClob

POST /jc6/servlet/clobfield HTTP/1.1Host: Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length: 91
key=readClob&sImgname=1&sTablename=1&sKeyvalue=1&sKeyname=1