低代码平台代码审计分析报告<\/h1>

一、权限绕过漏洞分析<\/h2>

1. 第一种绕过方式<\/h3>

漏洞位置<\/strong>：SessionFilter<\/li>
绕过方法<\/strong>：添加特定请求头即可绕过权限检查<\/li>

利用方式<\/strong>：在请求中添加头 internalRequestKey: schedule_898901212<\/code><\/li> <\/ul> 2. 第二种绕过方式<\/h3> 漏洞原理<\/strong>：类似Shiro的权限绕过<\/li> 绕过方法<\/strong>：使用路径遍历技术<\/li> 利用示例<\/strong>：static\/..\/je\/document\/file<\/code><\/li> <\/ul> 二、文件上传漏洞审计<\/h2> 1. 关键接口定位<\/h3> \/je\/document\/file<\/code><\/li> \/je\/disk\/file<\/code><\/li> <\/ul> 2. 参数分析<\/h3> 可控参数<\/strong>：bucket<\/code> 和 dir<\/code> 参数完全可控<\/li> 关键代码路径<\/strong>： List fileBos =<\/span> documentBusService.<\/span>saveFile<\/span>(<\/span>fileUploadFiles,<\/span> userId,<\/span> metadata,<\/span> bucket,<\/span> dir);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 文件保存流程分析<\/h3> 文件处理入口：saveFile<\/code> 方法<\/p> <\/li> 文件唯一标识生成逻辑：<\/p> 如果存在 fileKey<\/code> 则使用原有值<\/li> 否则使用 JEUUID.uuid()<\/code> 生成新标识<\/li> <\/ul> <\/li> 文件存储类型判断：<\/p> Bucket bucketBO =<\/span> this<\/span>.<\/span>fileManager<\/span>.<\/span>findBucket<\/span>(<\/span>bucket);<\/span> <\/span><\/span><\/code><\/pre><\/li> 文件存储路径构造：<\/p> FileSaveDTO fileSaveDTO =<\/span> this<\/span>.<\/span>fileManager<\/span>.<\/span>saveFile<\/span>(<\/span>fileName,<\/span> contentType,<\/span> bytes,<\/span> bucketBO,<\/span> dir);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 4. 文件存储类型分析<\/h3> 存储类型枚举<\/strong>：<\/p> aliyun<\/code><\/li> DEFAULT<\/code> (本地存储)<\/li> tencent<\/code><\/li> mongodb<\/code><\/li> <\/ul> <\/li> 数据库关联<\/strong>：<\/p> 表名：je_document_bucket<\/code><\/li> 关键字段：webroot<\/code> 和 disk-oss<\/code> 对应 DEFAULT 类型<\/li> <\/ul> <\/li> <\/ul> 5. 文件上传利用条件<\/h3> 控制 bucket<\/code> 参数值为 webroot<\/code><\/p> <\/li> dir<\/code> 参数：<\/p> 可留空（自动生成 \/year\/yy-mm\/<\/code> 格式路径）<\/li> 可指定自定义目录<\/li> <\/ul> <\/li> 文件名处理：<\/p> 使用 fileNameGenerator<\/code> 方法生成UUID格式文件名<\/li> 注意：回显的 fileKey<\/code> 并非实际文件名<\/li> <\/ul> <\/li> <\/ol> 三、SQL注入漏洞<\/h2> 1. 漏洞位置<\/h3> 接口：POST \/rbac\/im\/accessToTeanantInfo<\/code><\/li> 注入参数：tenantId<\/code><\/li> <\/ul> 2. 利用方法<\/h3> 使用sqlmap进行自动化注入： sqlmap -r request.txt --level 3<\/span> -D "jepaas"<\/span> -T "je_document_file"<\/span> --dump --fresh-queries <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3. 注意事项<\/h3> 数据库名可能不是默认的 jepaas<\/code><\/li> 需要使用 --fresh-queries<\/code> 参数避免缓存影响<\/li> <\/ul> 四、关键注意事项<\/h2> 数据库配置<\/strong>：<\/p> 默认数据库名可能变化<\/li> 需要确认实际数据库名<\/li> <\/ul> <\/li> 文件访问限制<\/strong>：<\/p> webroot<\/code> bucket 可被页面解析访问<\/li> disk-oss<\/code> bucket 可能无法直接访问<\/li> 建议使用 \/je\/document\/file<\/code> 接口（bucket参数可控）<\/li> <\/ul> <\/li> 访问认证<\/strong>：<\/p> 访问文件时需要携带 internalRequestKey: schedule_898901212<\/code> 头<\/li> 否则无法通过认证<\/li> <\/ul> <\/li> 时间戳验证<\/strong>：<\/p> 上传时间与实际文件生成时间需对应验证<\/li> <\/ul> <\/li> <\/ol> 五、漏洞利用链总结<\/h2> 通过权限绕过获取未授权访问<\/li> 利用文件上传接口实现任意文件上传<\/li> 通过SQL注入获取文件存储路径信息<\/li> 结合所有漏洞实现完整的攻击链<\/li> <\/ol>