某景人事管理系统漏洞挖掘与分析教学文档<\/h1>

1. 系统概述<\/h2>

某景人事管理系统是一个基于Java开发的企业人力资源管理系统，采用多种Java技术栈构建，包括：<\/p>

XFire (Java SOAP框架)<\/li>
Struts框架<\/li>

传统Servlet\/JSP技术<\/li> <\/ul>

2. 漏洞分析<\/h2>

2.1 路由与权限认证分析<\/h3>

关键配置文件<\/h4>

web.xml<\/strong>：定义了系统主要路由，包含一个低版本filter<\/li>
services.xml<\/strong>：XFire框架的服务端点配置<\/li>

struts-config.xml<\/strong>：Struts框架配置，包含认证逻辑和路由<\/li> <\/ul>
认证绕过问题<\/h4>

filter中为services接口设置了白名单，导致services.xml中定义的所有接口均可未授权访问<\/li> <\/ul>
2.2 SQL注入漏洞<\/h3>
前台SQL注入点<\/h4>

HrpService接口<\/strong><\/p>

入口函数：getChangeUsers<\/code><\/li>
漏洞成因：SQL语句拼接后通过prepareStatement<\/code>执行，但预编译SQL语句可控<\/li>
其他受影响方法： removeUser, changeUserOrg, validateUserId, getAllOrganizations, getUsersByDeptId, getUsersByOrgId, batchAppend, batchUpdate, batchDelete, updateEnabled, getCodeIdByCodeDesc, getObjectByParam, isExist, isExecuteSql, initExecuteSql, isProtecting, updateInfoByMap <\/code><\/pre> <\/li> <\/ul> <\/li> HrService接口<\/strong><\/p> 同样存在多处SQL注入点<\/li> <\/ul> <\/li> <\/ol> 前台查询所有用户密码<\/h4> HrpService接口<\/strong>的getEToken<\/code>函数<\/li> 需要满足条件：第二个参数必须为c42YFCcwuJdC3uZF9CNUF\/kDRn33hWpx<\/code><\/li> 通过UserView var7 = var4.getSetView(var1, "", "false", var6)<\/code>查询用户信息<\/li> 返回用户名和密码的base64密文<\/li> <\/ul> 其他前台接口<\/h4> 任意用户添加接口：HrService.createUser<\/code><\/li> 查询所有用户接口：HrService.getAllUsers<\/code><\/li> <\/ul> 2.3 XXE漏洞<\/h3> 前台XXE注入点<\/h4> HrpService接口<\/strong>的多个方法： getHolidayMsg, impInfoByNotice, getRemainHolidays, syncHolidayMsg, updateHolidays <\/code><\/pre> <\/li> SynToADService<\/strong>的sendSyncMsg<\/code>方法<\/li> OutputTemplateDataServlet<\/strong>的doPost<\/code>方法<\/li> <\/ul> 2.4 JDBC注入<\/h3> SynEmpOrgToERPService<\/strong>和SynToADService<\/strong>的sendSyncMsg<\/code>方法<\/li> getConnection<\/code>参数可控，但因缺少db2组件无法getshell<\/li> <\/ul> 2.5 后台漏洞<\/h3> 任意文件读取<\/h4> 路径：\/components\/fileupload\/upload<\/code><\/li> 类：com.hjsj.hrms.utils.components.fileupload.servlet.FileUploadServlet<\/code><\/li> 可读取： Windows系统：c:\/windows\/win.ini<\/code><\/li> Linux系统：\/etc\/hosts<\/code><\/li> <\/ul> <\/li> 漏洞成因：参数解密后直接拼接至File对象，路径完全可控<\/li> <\/ul> 反序列化漏洞<\/h4> 低版本存在，高版本因function_id<\/code>提示找不到而失效<\/li> 受影响类方法： GetGzReportDataTrans.execute GzAnalyseExportDataTrans.execute EditTableInfoTrans.execute GzReportDataExportTrans.execute <\/code><\/pre> <\/li> 反序列化点：java.io.ObjectInputStream#readObject<\/code><\/li> <\/ul> 其他后台漏洞<\/h4> 源码打包与文件读取<\/strong><\/p> 类：ExportDemandZipTrans.execute<\/code><\/li> 问题：会将原文件删除<\/li> <\/ul> <\/li> ZIP解压文件上传<\/strong><\/p> 类：ReductionFileTrans.execute<\/code> (多个位置)<\/li> 需要服务器端验证上传是否成功<\/li> <\/ul> <\/li> 任意文件读取<\/strong><\/p> 可能需要普通用户权限<\/li> 未验证类： DisplayCustomerReportExcelFile downboard DisplayOleContent DisplayOleFile <\/code><\/pre> <\/li> <\/ul> <\/li> 文件上传漏洞<\/strong><\/p> 可能需要管理员权限<\/li> 未验证类： uploadmediafileservlet YUfileUpLoadServlet (注意：文件重复会覆盖原文件) <\/code><\/pre> <\/li> <\/ul> <\/li> 模板导入漏洞<\/strong><\/p> 路径：\/gz\/templateset\/gz_templatelist.do?b_validateImport=validate<\/code><\/li> <\/ul> <\/li> <\/ol> 3. 漏洞利用链总结<\/h2> 3.1 前台利用链<\/h3> 通过未授权访问services接口<\/li> 利用SQL注入获取用户凭证<\/li> 通过XXE漏洞获取系统敏感信息<\/li> 利用任意用户添加接口创建高权限账户<\/li> <\/ol> 3.2 后台利用链<\/h3> 通过任意文件读取获取系统配置<\/li> 利用反序列化漏洞执行远程代码<\/li> 通过文件上传漏洞部署webshell<\/li> 结合ZIP解压功能实现目录穿越<\/li> <\/ol> 4. 防御建议<\/h2> 认证与授权<\/strong><\/p> 移除services接口的白名单<\/li> 实现严格的权限控制<\/li> <\/ul> <\/li> SQL注入防护<\/strong><\/p> 使用参数化查询<\/li> 实施输入验证<\/li> <\/ul> <\/li> XXE防护<\/strong><\/p> 禁用外部实体解析<\/li> 使用安全配置的XML解析器<\/li> <\/ul> <\/li> 文件操作安全<\/strong><\/p> 实施路径规范化<\/li> 限制文件操作权限<\/li> <\/ul> <\/li> 反序列化防护<\/strong><\/p> 升级到安全版本<\/li> 使用安全的反序列化方法<\/li> <\/ul> <\/li> 其他<\/strong><\/p> 定期安全审计<\/li> 实施WAF防护<\/li> 最小权限原则配置服务器<\/li> <\/ul> <\/li> <\/ol>