Flowable工作流引擎命令执行漏洞分析与利用<\/h1>

漏洞背景<\/h2>
Flowable是一个轻量级的工作流和业务流程管理(BPM)平台，基于Java开发。在特定配置下，Flowable可能允许攻击者通过Shell任务执行任意系统命令，导致远程代码执行(RCE)漏洞。<\/p>

漏洞发现过程<\/h2>

初始访问<\/strong>：通过越权跳转漏洞获取管理员权限<\/p>

发现系统存在端口跳转功能：http:\/\/xxx.com:8092\/login?username=xx&token=xxx<\/code><\/li>
将username参数修改为admin后成功以管理员身份进入后台<\/li> <\/ul> <\/li>
功能探索<\/strong>：发现流程模板功能使用Flowable工作流引擎<\/p> 在后台找到"流程模板"功能点<\/li> 确认系统使用Flowable作为工作流引擎<\/li> <\/ul> <\/li> 漏洞挖掘<\/strong>：发现Shell任务功能<\/p> 在Flowable中找到"Shell任务"模块<\/li> 该模块允许配置并执行系统命令<\/li> <\/ul> <\/li> <\/ol> 漏洞利用技术细节<\/h2> Shell任务配置<\/h3> Flowable支持通过XML配置Shell任务，关键配置如下：<\/p> <serviceTask<\/span> id=<\/span>"shellEcho"<\/span> flowable:type=<\/span>"shell"<\/span>><\/span> <\/span><\/span> <extensionElements><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"command"<\/span> stringValue=<\/span>"cmd"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"arg1"<\/span> stringValue=<\/span>"\/c"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"arg2"<\/span> stringValue=<\/span>"echo"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"arg3"<\/span> stringValue=<\/span>"EchoTest"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"arg4"<\/span> stringValue=<\/span>">"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"arg5"<\/span> stringValue=<\/span>"D:\content\sec.txt"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"wait"<\/span> stringValue=<\/span>"true"<\/span> \/><\/span> <\/span><\/span> <flowable:field<\/span> name=<\/span>"outputVariable"<\/span> stringValue=<\/span>"resultVar"<\/span> \/><\/span> <\/span><\/span> <\/extensionElements><\/span> <\/span><\/span><\/serviceTask><\/span> <\/span><\/span><\/code><\/pre>图形化界面配置<\/h3> 在实际利用中，攻击者可以通过图形化界面直接配置上述参数：<\/p> 命令(command)：指定要执行的程序(如cmd、powershell等)<\/li> 参数(arg1-argN)：指定命令的参数<\/li> 等待(wait)：是否等待命令执行完成<\/li> 输出变量(outputVariable)：存储命令输出的变量名<\/li> <\/ol> 漏洞利用步骤<\/h3> 创建恶意流程模板<\/strong><\/p> 在图形界面中配置Shell任务<\/li> 设置要执行的恶意命令(如写入文件、反弹shell等)<\/li> <\/ul> <\/li> 部署流程模板<\/strong><\/p> 将创建的恶意模板部署到系统中<\/li> 确保模板被成功保存并可用<\/li> <\/ul> <\/li> 触发命令执行<\/strong><\/p> 发起配置好的流程<\/li> 系统会自动执行流程中的Shell任务<\/li> <\/ul> <\/li> <\/ol> 实际利用案例<\/h3> 测试写入文件<\/strong><\/p> 配置命令：cmd \/c echo test > D:\content\sec.txt<\/code><\/li> 成功在目标系统创建文件<\/li> <\/ul> <\/li> 尝试写入JSP Webshell<\/strong><\/p> 发现写入的JSP文件被直接下载，无法执行<\/li> 判断系统可能是JAR包环境，无法直接部署Webshell<\/li> <\/ul> <\/li> 使用PowerShell执行命令<\/strong><\/p> 改为使用PowerShell命令<\/li> 成功执行并获得预期效果<\/li> <\/ul> <\/li> <\/ol> 防御措施<\/h2> 权限控制<\/strong><\/p> 严格限制流程模板的创建和修改权限<\/li> 实施最小权限原则，避免普通用户拥有管理员权限<\/li> <\/ul> <\/li> 输入验证<\/strong><\/p> 对Shell任务的配置参数进行严格验证<\/li> 禁止使用危险命令和特殊字符<\/li> <\/ul> <\/li> 安全配置<\/strong><\/p> 禁用或限制Flowable的Shell任务功能<\/li> 使用安全沙箱限制命令执行环境<\/li> <\/ul> <\/li> 系统加固<\/strong><\/p> 定期审计流程定义和模板<\/li> 监控异常的命令执行行为<\/li> <\/ul> <\/li> 修复越权漏洞<\/strong><\/p> 修复初始发现的越权跳转漏洞<\/li> 实施严格的会话管理和身份验证<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该漏洞展示了权限提升与命令执行链式攻击的典型案例。通过初始的越权访问获取管理员权限后，攻击者可以利用Flowable工作流引擎的功能特性实现系统命令执行。这种攻击强调了纵深防御的重要性，需要从多个层面实施安全控制。<\/p>

Flowable工作流引擎命令执行漏洞分析与利用<\/h1>

漏洞背景<\/h2> Flowable是一个轻量级的工作流和业务流程管理(BPM)平台，基于Java开发。在特定配置下，Flowable可能允许攻击者通过Shell任务执行任意系统命令，导致远程代码执行(RCE)漏洞。<\/p>

漏洞利用技术细节<\/h2>

漏洞背景<\/h2>
Flowable是一个轻量级的工作流和业务流程管理(BPM)平台，基于Java开发。在特定配置下，Flowable可能允许攻击者通过Shell任务执行任意系统命令，导致远程代码执行(RCE)漏洞。<\/p>