JSPXCMS历史漏洞分析与复现教学文档<\/h1>

一、环境准备<\/h2>

1. 系统要求<\/h3>

操作系统：Windows 10<\/li>
中间件：Apache Tomcat 9.0.58<\/li>

数据库：MySQL 5.7.26（可使用phpstudy集成环境）<\/li> <\/ul>

2. 部署步骤<\/h3>

JSPXCMS安装包部署到Tomcat<\/h4>

下载并解压jspxcms安装包<\/li>
将Tomcat的ROOT目录替换为jspxcms的ROOT目录<\/li>
修改application.properties<\/code>中的数据库配置信息<\/li>

启动Tomcat服务<\/li>
<\/ol>
JSPXCMS源码部署到IDEA<\/h4>

使用IDEA打开解压好的源码目录<\/li>
由于使用了SpringBoot框架，直接运行主程序Application<\/code>即可<\/li>
<\/ol>
二、漏洞分析与复现<\/h2>
1. XSS漏洞<\/h3>
漏洞位置<\/h4>

评论功能中的文本输入未充分过滤<\/li>
前端模板sys_member_space_comment.html<\/code>未使用escape标签进行HTML实体编码<\/li>
<\/ul>
复现步骤<\/h4>

访问首页任意新闻<\/li>
注册用户并提交评论（使用XSS payload）<\/li>
访问\/space\/{id}<\/code>路径触发XSS<\/li>
<\/ol>
代码分析路径<\/h4>

搜索comment_submit<\/code>定位到控制器方法<\/li>
跟踪text<\/code>变量传递过程：

控制器接收参数 → service层处理 → dao层存储<\/li>
<\/ul>
<\/li>
前端渲染分析：

\/comment_list<\/code>使用了HTML实体编码<\/li>
\/space\/{id}<\/code>未使用编码<\/li>
<\/ul>
<\/li>
<\/ol>
2. SSRF漏洞<\/h3>
第一处SSRF<\/h4>
敏感函数<\/strong>：<\/p>
HttpClient.<\/span>execute<\/span>()<\/span>
<\/span><\/span><\/code><\/pre>漏洞位置<\/strong>：<\/p>

fetchHtml()<\/code>方法直接使用用户可控URL发起请求<\/li>
<\/ul>
复现步骤<\/strong>：<\/p>

构造请求调用fetchUrl()<\/code>方法<\/li>
传入外部可控URL参数<\/li>
<\/ol>
第二处SSRF<\/h4>
敏感函数<\/strong>：<\/p>
URL.<\/span>openConnection<\/span>()<\/span>
<\/span><\/span><\/code><\/pre>漏洞位置<\/strong>：<\/p>

ueditorCatchImage()<\/code>方法中source[]<\/code>参数可控<\/li>
<\/ul>
复现步骤<\/strong>：<\/p>

访问\/ueditor<\/code>路径<\/li>
设置action=catchimage<\/code><\/li>
传入恶意URL参数<\/li>
<\/ol>
3. RCE漏洞<\/h3>
第一处：反序列化RCE<\/h4>
依赖条件<\/strong>：<\/p>

使用了CommonsBeanutils1依赖<\/li>
使用了Apache Shiro且版本<1.4.2（可利用Shiro-721）<\/li>
<\/ul>
复现步骤<\/strong>：<\/p>

生成恶意序列化payload：<\/li>
<\/ol>
\/\/ 使用TemplatesImpl和BeanComparator构造payload
<\/span><\/span><\/span><\/span>byte<\/span>[]<\/span> code =<\/span> Base64.<\/span>getDecoder<\/span>().<\/span>decode<\/span>(<\/span>"恶意字节码"<\/span>);<\/span>
<\/span><\/span>TemplatesImpl obj =<\/span> new<\/span> TemplatesImpl();<\/span>
<\/span><\/span>setFieldValue(<\/span>obj,<\/span> "_bytecodes"<\/span>,<\/span> new<\/span> byte<\/span>[][]{<\/span>code});<\/span>
<\/span><\/span>\/\/ ... 构造PriorityQueue...
<\/span><\/span><\/span><\/code><\/pre>
使用Shiro-721利用工具爆破rememberMe Cookie<\/li>
发送包含恶意payload的请求<\/li>
<\/ol>
第二处：文件上传RCE<\/h4>
漏洞位置<\/strong>：<\/p>

文件管理中的压缩包上传功能<\/li>
AntZipUtils.unzip()<\/code>未对文件名进行安全处理<\/li>
<\/ul>
复现步骤<\/strong>：<\/p>

准备包含war包的压缩文件（如冰蝎webshell）<\/li>
通过文件上传功能上传压缩包<\/li>
系统自动解压并将war包移动到tomcat的webapps目录<\/li>
访问webshell路径<\/li>
<\/ol>
技术细节<\/strong>：<\/p>

直接上传jsp文件会被JspDispatcherFilter<\/code>拦截<\/li>
war包解压后形成独立应用，不受原过滤器限制<\/li>
<\/ul>
三、防御建议<\/h2>


XSS防御<\/strong>：<\/p>

所有用户输入输出点进行HTML实体编码<\/li>
统一使用escape标签处理前端模板<\/li>
<\/ul>
<\/li>

SSRF防御<\/strong>：<\/p>

校验URL参数的白名单<\/li>
禁用非常规协议（如file:\/\/）<\/li>
设置网络访问权限<\/li>
<\/ul>
<\/li>

反序列化防御<\/strong>：<\/p>

升级Shiro至最新版本<\/li>
使用安全的序列化库<\/li>
校验反序列化数据<\/li>
<\/ul>
<\/li>

文件上传防御<\/strong>：<\/p>

校验文件类型和内容<\/li>
限制解压路径<\/li>
对文件名进行规范化处理<\/li>
<\/ul>
<\/li>
<\/ol>
四、参考资料<\/h2>

《JAVA代码审计(入门篇)》<\/li>
Shiro-721漏洞利用工具：https:\/\/github.com\/inspiringz\/Shiro-721<\/li>
Apache Commons Beanutils安全公告<\/li>
<\/ol>

JSPXCMS历史漏洞分析与复现教学文档<\/h1>

一、环境准备<\/h2>

2. 部署步骤<\/h3>

二、漏洞分析与复现<\/h2>

1. XSS漏洞<\/h3>

2. SSRF漏洞<\/h3>

3. RCE漏洞<\/h3>

四、参考资料<\/h2> 《JAVA代码审计(入门篇)》<\/li> Shiro-721漏洞利用工具：https:\/\/github.com\/inspiringz\/Shiro-721<\/li> Apache Commons Beanutils安全公告<\/li> <\/ol>

四、参考资料<\/h2>

《JAVA代码审计(入门篇)》<\/li>
Shiro-721漏洞利用工具：https:\/\/github.com\/inspiringz\/Shiro-721<\/li>
Apache Commons Beanutils安全公告<\/li> <\/ol>