ExtJS Direct请求中的RCE漏洞分析与代码审计<\/h1>

1. ExtJS Direct请求机制分析<\/h2>
ExtJS Direct是一个用于简化前端与后端通信的框架，允许前端通过JSON格式发送请求到后端，并由后端处理这些请求。<\/p>

1.1 请求参数结构<\/h3>

典型的ExtJS Direct请求包含以下参数：<\/p>

action<\/code>: 指定后端类名<\/li>
method<\/code>: 指定要调用的方法<\/li>
data<\/code>: 传递给方法的参数<\/li>
type<\/code>: 请求类型<\/li>

tid<\/code>: 事务ID<\/li>
<\/ul>
1.2 路由处理<\/h3>
在审计案例中，发现存在\/xxx\/xxx\/router<\/code>路由，通过全局搜索发现存在一个Ext_Direct<\/code>类文件，这是一个典型的基于ExtJS Direct的后端处理逻辑，用于处理前端发送的RPC(远程过程调用)请求。<\/p>
2. 远程代码执行(RCE)漏洞分析<\/h2>
2.1 漏洞发现过程<\/h3>

通过全局搜索危险函数如exec(<\/code>、shell_exec(<\/code>（加括号可提高搜索准确性）<\/li>
在resource文件下发现shell_exec<\/code>函数调用<\/li>
跟进发现xxage<\/code>函数中存在用户输入可控问题<\/li>
<\/ol>
2.2 漏洞代码分析<\/h3>
\/\/ 示例漏洞代码（简化）
<\/span><\/span><\/span><\/span>function<\/span> xxage<\/span>($input) {
<\/span><\/span>    \/\/ 主要逻辑为删除文件
<\/span><\/span><\/span><\/span>    \/\/ 但存在用户输入可控问题
<\/span><\/span><\/span><\/span>    shell_exec<\/span>($input); \/\/ 用户输入直接传入shell_exec
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>2.3 漏洞利用<\/h3>

确认类名为xxx_resource<\/code><\/li>
构造ExtJS Direct请求payload：

action<\/code>: xxx_resource<\/code>（类名）<\/li>
method<\/code>: xxage<\/code>（方法名）<\/li>
data<\/code>: 数组形式传入命令参数<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 验证利用<\/h3>
通过构造请求成功实现命令执行，并通过DNSLog外带出服务器用户名。<\/p>
3. 其他逻辑缺陷分析<\/h2>
3.1 用户注册逻辑缺陷<\/h3>

发现register<\/code>条件中存在用户名添加逻辑<\/li>
调用adduserreview<\/code>函数处理注册请求<\/li>
需要传入参数：用户密码、邮箱等<\/li>
可添加用户但需要管理员审核<\/li>
<\/ol>
3.2 302跳转\/XSS漏洞<\/h3>

href<\/code>参数可在cookie头中添加identify<\/code>参数<\/li>
可造成302跳转或XSS攻击<\/li>
<\/ol>
3.3 密码处理函数问题<\/h3>

从SQL语句中获取用户名<\/li>
根据用户名获取密码<\/li>
问题：获取的密码为null<\/li>
对用户名进行爆破无效<\/li>
<\/ol>
4. 文件下载漏洞<\/h2>

存在文件下载功能<\/li>
尝试目录穿越读取\/etc\/passwd<\/code>文件<\/li>
受限于basename<\/code>函数，只能下载指定目录下的文件<\/li>
通过RCE发现目录下存在敏感文件：

包含敏感信息的.txt文件<\/li>
网站请求路径信息（但利用价值有限）<\/li>
<\/ul>
<\/li>
<\/ol>
5. 验证码漏洞<\/h2>

发现图形验证码生成逻辑<\/li>
可对图形验证码进行伸缩扩大<\/li>
可能造成类似DDOS的效果<\/li>
<\/ol>
6. 防御建议<\/h2>
6.1 ExtJS Direct请求安全<\/h3>

严格验证action<\/code>和method<\/code>参数<\/li>
实现白名单机制限制可调用的类和方法<\/li>
对用户输入进行严格过滤和转义<\/li>
<\/ol>
6.2 RCE防御<\/h3>

避免直接使用shell_exec<\/code>等危险函数<\/li>
如需使用，应严格过滤输入参数<\/li>
实现命令白名单机制<\/li>
<\/ol>
6.3 其他安全建议<\/h3>

用户注册逻辑应增加验证机制<\/li>
修复302跳转\/XSS漏洞<\/li>
密码处理应确保正确获取和验证<\/li>
文件下载功能应限制目录范围<\/li>
验证码生成应限制请求频率<\/li>
<\/ol>
7. 总结<\/h2>
本案例展示了通过ExtJS Direct请求机制发现的RCE漏洞及其他逻辑缺陷，强调了：<\/p>

对前端路由机制的深入理解重要性<\/li>
全局代码审计中危险函数搜索的技巧<\/li>
用户输入可控问题的危害性<\/li>
多种漏洞类型组合利用的可能性<\/li>
<\/ol>
ExtJS Direct这种类型的路由请求在实战中较为少见，但一旦存在漏洞往往危害严重，需要特别关注。<\/p>

ExtJS Direct请求中的RCE漏洞分析与代码审计<\/h1>

1. ExtJS Direct请求机制分析<\/h2> ExtJS Direct是一个用于简化前端与后端通信的框架，允许前端通过JSON格式发送请求到后端，并由后端处理这些请求。<\/p>

1.2 路由处理<\/h3> 在审计案例中，发现存在\/xxx\/xxx\/router<\/code>路由，通过全局搜索发现存在一个Ext_Direct<\/code>类文件，这是一个典型的基于ExtJS Direct的后端处理逻辑，用于处理前端发送的RPC(远程过程调用)请求。<\/p>

2.4 验证利用<\/h3> 通过构造请求成功实现命令执行，并通过DNSLog外带出服务器用户名。<\/p>

3. 其他逻辑缺陷分析<\/h2>

6. 防御建议<\/h2>

1. ExtJS Direct请求机制分析<\/h2>
ExtJS Direct是一个用于简化前端与后端通信的框架，允许前端通过JSON格式发送请求到后端，并由后端处理这些请求。<\/p>

1.2 路由处理<\/h3>
在审计案例中，发现存在`\/xxx\/xxx\/router<\/code>路由，通过全局搜索发现存在一个Ext_Direct<\/code>类文件，这是一个典型的基于ExtJS Direct的后端处理逻辑，用于处理前端发送的RPC(远程过程调用)请求。<\/p>`

2.4 验证利用<\/h3>
通过构造请求成功实现命令执行，并通过DNSLog外带出服务器用户名。<\/p>