OFCMS_V1.1.3代码审计

环境搭建项目地址ofcms 发行版 - Gitee.com采用IDEAtomcat进行搭建数据库配置修改数据库配置文件ofcms-V1.1.3\ofcms-admin\src\main\resources\dev\conf\db-config.properties并且导入数据库mvn clean package -DskipTests 打包 复制 ofcms-V1.1.3\ofcms-admin\target\ofcms-admin.war 到apache-tomcat-9.0.118\webapps 复制之后改名为ROOT.war 切换到目录C:\Tools\apache-tomcat-9.0.118\bin 运行catalina.bat run如果手动配置完启动项目还是安装界面重启服务器后无效把ofcms-V1.1.3\ofcms-admin\src\main\resources\dev\conf\db-config.properties的db-config.properties文件修改为db.properties项目启动成功之后访问前台http://localhost:8080/后台http://localhost:8080/admin/login.html账号密码为:admin/123456代码审计SSTI模板注入网站的后台个模板文件并且是可以进行修改的在pom.xml中查看使用的技术使用freemarker模板注入的POC#assign valuefreemarker.template.utility.Execute?new()${value(calc.exe)}保存之后访问首页可以看见计算机弹出来了命令执行成功任意文件写入这里还是模板文件这里进行测试抓包保存文件可以看到访问的路由是/cms/template然后全局搜索进行定位dirs、file_name完全由前端可控无任何过滤然后需要寻找是否存在jsp的解析发现在static目录下可以解析.jsp文件那么我们上传jsp木马到static目录下即可sql注入在后台发现了可以添加sql语句的地方然后进行抓包来进行定位代码段可以看到sql是可控的然后就可以进行测试update of_cms_ad set ad_idupdatexml(1,concat(0x7e,(user())),0) where ad_id1XSS(存储型)前台的文章处发现可以进行用户评论可以试试xss抓包查看对应的代码用户输入comment_content直接完整存入数据库无任何 HTML/JS 转义过滤留言处进行测试scriptalert(1)/script