JEECG快速开发平台代码审计与漏洞分析<\/h1>

0x00 平台概述<\/h2>

JEECG是一款基于代码生成器的J2EE快速开发平台，被称为开源界的"小普元"，具有以下特点：<\/p>

超越传统商业企业级开发平台<\/li>
提供三种开发模式：Online Coding模式(自定义表单)->代码生成器模式->手工MERGE智能开发<\/li>

可解决Java项目中60%的重复工作，让开发者更关注业务逻辑<\/li> <\/ul>

0x01 环境搭建<\/h2>

所需工具<\/h3>

IDEA开发环境<\/li>
Maven项目管理工具<\/li>
MySQL数据库<\/li>

Tomcat服务器<\/li> <\/ul>

搭建步骤<\/h3>

下载源代码：https:\/\/github.com\/zhangdaiscott\/jeecg<\/li>
使用IDEA导入项目，自动下载依赖<\/li>
修改数据库配置文件，替换账号密码<\/li>
手动创建jeecg数据库并导入数据<\/li>

配置Tomcat并启动服务<\/li> <\/ol>

0x02 路由分析<\/h2>

JEECG基于Spring MVC框架：<\/p>

使用@Controller<\/code>声明控制器类<\/li>

通过@RequestMapping<\/code>配置路由映射<\/li>
<\/ul>
示例控制器：\/src\/main\/java\/com\/jeecg\/demo\/controller\/JfromOrderController.java<\/code><\/p>
访问方式：<\/p>

访问@RequestMapping(params = "qrcode")<\/code>：
http:\/\/localhost:8080\/jeecgFormDemoController.do?qrcode
<\/code><\/pre>
<\/li>
访问@RequestMapping("\/filedeal")<\/code>：
http:\/\/localhost:8080\/jeecgFormDemoController\/filedeal.do
<\/code><\/pre>
<\/li>
<\/ol>
0x03 漏洞分析<\/h2>
漏洞1：文件上传Getshell<\/h3>
利用步骤<\/strong>：<\/p>

访问上传接口（需要登录）：
http:\/\/localhost:8080\/jeecgFormDemoController.do?commonUpload
<\/code><\/pre>
<\/li>
直接修改文件名后缀上传恶意文件<\/li>
<\/ol>
绕过登录限制<\/strong>：<\/p>

利用未授权访问漏洞获取有效sessionid：
http:\/\/localhost:8080\/webpage\/system\/druid\/websession.json
<\/code><\/pre>
<\/li>
将获取的sessionid替换到请求中实现未授权上传<\/li>
<\/ol>
漏洞代码分析<\/strong>：

文件：\/src\/main\/java\/org\/jeecgframework\/web\/cgform\/controller\/upload\/CgUploadController.java<\/code>

方法：ajaxSaveFile<\/code><\/p>
关键问题代码：<\/p>
String fileName =<\/span> mf.<\/span>getOriginalFilename<\/span>();<\/span>  \/\/ 获取文件名
<\/span><\/span><\/span><\/span>String extend =<\/span> FileUtils.<\/span>getExtend<\/span>(<\/span>fileName);<\/span>  \/\/ 获取文件扩展名
<\/span><\/span><\/span><\/span>String noextfilename=<\/span>DateUtils.<\/span>getDataString<\/span>(<\/span>DateUtils.<\/span>yyyymmddhhmmss<\/span>)+<\/span>StringUtil.<\/span>random<\/span>(<\/span>8<\/span>);<\/span>
<\/span><\/span>String myfilename=<\/span>noextfilename+<\/span>"."<\/span>+<\/span>extend;<\/span>  \/\/ 拼接新文件名
<\/span><\/span><\/span><\/span>String savePath =<\/span> realPath +<\/span> myfilename;<\/span>  \/\/ 文件保存全路径
<\/span><\/span><\/span><\/code><\/pre>漏洞原因<\/strong>：<\/p>

获取文件扩展名后未进行任何过滤<\/li>
直接拼接生成新文件名并保存<\/li>
无文件类型检查机制<\/li>
<\/ul>
漏洞2：信息泄露漏洞<\/h3>
漏洞位置<\/strong>：<\/p>
http:\/\/localhost:8080\/webpage\/system\/druid\/websession.json
<\/code><\/pre>
影响<\/strong>：<\/p>

泄露所有已登录用户的sessionid<\/li>
可导致权限绕过和未授权访问<\/li>
<\/ul>
0x04 其他潜在漏洞<\/h2>
JEECG平台还存在以下类型的安全问题：<\/p>

SQL注入漏洞<\/li>
任意文件下载漏洞<\/li>
任意文件删除漏洞<\/li>
EL表达式注入漏洞<\/li>
XSS跨站脚本漏洞<\/li>
SSRF服务器端请求伪造漏洞<\/li>
<\/ol>
0x05 修复建议<\/h2>


文件上传漏洞修复：<\/p>

实现严格的文件类型白名单验证<\/li>
对上传文件进行重命名，避免使用用户提供的扩展名<\/li>
限制上传目录的执行权限<\/li>
<\/ul>
<\/li>

信息泄露漏洞修复：<\/p>

限制\/webpage\/system\/druid\/websession.json<\/code>的访问权限<\/li>
添加身份验证机制<\/li>
<\/ul>
<\/li>

其他建议：<\/p>

对所有用户输入进行严格过滤和验证<\/li>
实现最小权限原则<\/li>
定期进行安全审计和代码审查<\/li>
<\/ul>
<\/li>
<\/ol>
0x06 审计技巧<\/h2>

重点关注文件上传功能实现<\/li>
检查所有@RequestMapping<\/code>注解的路由<\/li>
审查数据库操作是否存在SQL注入风险<\/li>
检查文件操作相关功能的安全性<\/li>
验证权限控制机制的完整性<\/li>
<\/ol>
附录：常见问题<\/h2>
Q：SQL注入漏洞在哪个位置？<\/strong>

A：需要审查所有使用原生SQL查询的地方，特别是动态拼接SQL语句的部分。<\/p>
Q：如何发现未授权访问漏洞？<\/strong>

A：通过目录扫描和审查权限控制代码，特别是@RequestMapping<\/code>注解的参数验证。<\/p>
Q：漏洞影响哪些版本？<\/strong>

A：文中提到的漏洞在JEECG 3.8版本中存在，其他版本也可能受影响。<\/p>