从mcms历史漏洞中捡漏-NGC660 安全实验室

前言

这段时间忙于工作，无法自拔~~~

上周末刚好有空，随便逛了一下java开源cms，发现一个star挺多的mcms，就看了一下issues,发现了两个比较有意思的地方（主要感觉问题没有修复完全），写出来请大伙指点指点。

分析

毕竟水平太次，只能写点简单的东西了~~~

后台模版管理

该cms开发上使用了Freemarker框架，在一些历史版本中，也存在很多模版注入的问题。

这些问题大部分是通过后台模版管理模块可上传zip文件进行自解压或者可修改模版htm文件插入payload达到目的。

上传zip文件解压：net.mingsoft.basic.action.ManageFileAction#uploadTemplate：

跟进uploadTemplate：

public ResultData uploadTemplate(BaseFileAction.Config config) throws IOException {
        String[] errorType = this.uploadFileDenied.split(",");
        String fileName = config.getFile().getOriginalFilename();
        if (fileName.lastIndexOf(".") < 0) {
            this.LOG.info("文件格式错误:{}", fileName);
            return ResultData.build().error(this.getResString("err.error", new String[]{this.getResString("file.name")}));
        } else {
            String fileType = fileName.substring(fileName.lastIndexOf("."));
            boolean isReal = (new File(this.uploadTemplatePath)).isAbsolute();
            String realPath = null;
            if (!isReal) {
                realPath = BasicUtil.getRealPath("");
            } else {
                realPath = this.uploadTemplatePath;
            }

            if (!config.isRename()) {
                fileName = config.getFile().getOriginalFilename();
                if (fileName.endsWith(".") && System.getProperty("os.name").startsWith("Windows")) {
                    this.LOG.info("文件类型被拒绝:{}", fileName);
                    return ResultData.build().error(this.getResString("err.error", new String[]{this.getResString("file.type")}));
                }

                fileType = fileName.substring(fileName.lastIndexOf("."));
            } else {
                fileName = System.currentTimeMillis() + fileType;
            }

            String[] var7 = errorType;
            int var8 = errorType.length;

            String path;
            for(int var9 = 0; var9 < var8; ++var9) {
                path = var7[var9];
                if (fileType.equalsIgnoreCase(path)) {
                    this.LOG.info("文件类型被拒绝:{}", fileType);
                    return ResultData.build().error(this.getResString("err.error", new String[]{this.getResString("file.type")}));
                }
            }

            String uploadFolder = realPath + File.separator;
            if (StringUtils.isNotBlank(config.getUploadPath())) {
                uploadFolder = uploadFolder + config.getUploadPath() + File.separator;
            }

            File saveFolder = new File(uploadFolder);
            File saveFile = new File(uploadFolder, fileName);
            if (!saveFolder.exists()) {
                FileUtil.mkdir(saveFolder);
            }

            config.getFile().transferTo(saveFile);
            path = uploadFolder.replace(realPath, "") + "/" + fileName;
            return ResultData.build().success((new File("/" + path)).getPath().replace("\\", "/").replace("//", "/"));
        }
    }

这里有个黑名单的判断。通过String[] errorType = this.uploadFileDenied.split(“,”);和注解拿到黑名单

application.yml

不能为exe jsp jspx sh 等类型文件，然后通过unZip接口解压：

net.mingsoft.basic.action.TemplateAction#unZip：

这里主要手法就是上传包含payload的模板文件，然后设置进行引用。

修改模板文件：

同样后台提供了net.mingsoft.basic.action.TemplateAction#writeFileContent去写内容：

通过该接口，在一些历史版本中同样可以写入模板注入payload。

思考

到这里，如果是以tomcat部署war的形式，是否可以通过上传zip（war）自解压到上级目录getshell

在5.2.1版本中，进一步跟进net.mingsoft.basic.action.TemplateAction#unZip：

调试后发现最后会通过cn.hutool.core.io.FileUtil#checkSlip判断解压文件位置是否跳出父目录，我们通过../进行路径穿越的话显然是会报错：

这样看的话，这个整个应用中应该不存在这个问题，但是当我git下最新版本（5.2.8）后却发现这里的unzip没有调用该方法，那么说明在最新版本中是可以利用的。

private void unzip(File zipFile, String descDir) throws IOException {
        ZipArchiveInputStream inputStream = new ZipArchiveInputStream(new BufferedInputStream(new FileInputStream(zipFile)));
        File pathFile = new File(descDir);
        if (!pathFile.exists()) {
            pathFile.mkdirs();
        }

        ZipArchiveEntry entry = null;

        while((entry = inputStream.getNextZipEntry()) != null) {
            String[] dirs = entry.getName().split("/");
            String tempDir = descDir;
            String[] var8 = dirs;
            int var9 = dirs.length;

            for(int var10 = 0; var10 < var9; ++var10) {
                String dir = var8[var10];
                if (dir.indexOf(".") == -1) {
                    tempDir = tempDir + File.separator.concat(dir);
                    FileUtil.mkdir(tempDir);
                }
            }

            if (entry.isDirectory()) {
                File directory = new File(descDir, entry.getName());
                directory.mkdirs();
            } else {
                BufferedOutputStream os = null;

                try {
                    this.LOG.debug("file name => {}", entry.getName());

                    try {
                        os = new BufferedOutputStream(new FileOutputStream(new File(descDir, entry.getName())));
                        IOUtils.copy(inputStream, os);
                    } catch (FileNotFoundException var15) {
                        this.LOG.error("模版解压{}不存在", entry.getName());
                        var15.printStackTrace();
                    }
                } finally {
                    IOUtils.closeQuietly(os);
                }
            }
        }

    }

将整个项目打包成war部署：

构造zip文件：

通过后台上传，成功解压到webapps目录：

getshell:

其实这算是常规方法，很多类似应用都存在同样问题。

修改ueditor配置上传

5.2.1版本中存在net.mingsoft.basic.action.web.EditorAction#editor一个前台的接口：

跟进com.mingsoft.ueditor.MsUeditorActionEnter：

这个逻辑很简单，将我们传入jsonconfig写入获取的jsonobject中，这里的jsonobject实际上就是static/plugins/ueditor/1.4.3.3/jsp/config.json：

接着执行com.baidu.ueditor.ActionEnter#exec：

跳到com.baidu.ueditor.ActionEnter#invoke：

这里this.actionType通过传参action得到，可以控制要执行的动作：

actioncode为1、2、3、4对应的都是上传：

跟进case：

conf = this.configManager.getConfig(actionCode);//获取配置
   state = (new Uploader(this.request, conf)).doExec();//执行上传

com.baidu.ueditor.ConfigManager#getConfig：

看到这里，基本上就可以干很多事了，那么新版本中也是进行了修复：

使用cn.hutool.core.io.FileUtil#normalize对三个路径进行了修复。但是上传的文件后缀还是可以控制的，在特殊情况下也可以通过jspx而getshell。（至于为什么只对路径进行修复，我想应该是该issue提交的师傅原来利用该缺陷通过修改上传地址上传了一个包含freemarker的payload从而进行模板执行，那么估计人家想的就是控制路径了吧）

在项目（最新版本）以war包部署在tomcat时：