某管理系统源代码审计教学文档<\/h1>

1. 鉴权绕过漏洞分析<\/h2>

漏洞位置<\/h3>
AuthInterceptor鉴权拦截器<\/p>

漏洞原理<\/h3>

系统使用request.getRequestURL().toString()<\/code>获取请求路径<\/li>
第35行代码检查URL是否包含action<\/code>中的内容，包含则返回true<\/li>
action<\/code>参数来源于stringArray[n2]<\/code><\/li>

stringArray<\/code>由opens<\/code>变量生成<\/li>
<\/ul>
绕过方法<\/h3>
使用路径遍历符号\/..\/<\/code>进行权限绕过，即可绕过鉴权检查直接访问受保护资源<\/p>
2. 前台任意文件上传漏洞<\/h2>
第一处上传点<\/h3>
漏洞位置<\/h4>
\/app\/uploadFileApp.do<\/code>路由<\/p>
漏洞代码分析<\/h4>

第414行获取文件名<\/li>
直接构造文件路径，上传路径固定为\/usr\/web\/resources\/upload\/<\/code><\/li>
使用FileUtils.copyInputStreamToFile<\/code>写入文件<\/li>
缺乏文件后缀校验和安全检查<\/li>
<\/ul>
PoC<\/h4>
POST<\/span> \/app\/uploadFileApp.do HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> target.com<\/span>
<\/span><\/span>Content-Type:<\/span> multipart\/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW<\/span>
<\/span><\/span>Content-Length:<\/span> 323<\/span>
<\/span><\/span>
<\/span><\/span>------WebKitFormBoundary7MA4YWxkTrZu0gW
<\/span><\/span>Content-Disposition: form-data; name="file"; filename="test.txt"
<\/span><\/span>Content-Type: application\/octet-stream
<\/span><\/span>
<\/span><\/span>test
<\/span><\/span>------WebKitFormBoundary7MA4YWxkTrZu0gW--
<\/span><\/span><\/code><\/pre>第二处上传点<\/h3>
漏洞位置<\/h4>
\/manage\/..\/vcsGroup\/actionGroupAddFile.do<\/code>路由<\/p>
漏洞特点<\/h4>

与第一处漏洞原理相同<\/li>
同样缺乏有效的过滤机制<\/li>
系统存在多处类似文件上传漏洞点<\/li>
<\/ul>
3. 前台SSRF漏洞<\/h2>
漏洞位置<\/h3>
\/sdk\/..\/grid\/actionDownloadFile.do<\/code>路由<\/p>
漏洞原理<\/h3>

url<\/code>参数用户完全可控<\/li>
参数未经任何校验或限制<\/li>
直接传递给downloadFormUrl<\/code>方法发起HTTP请求<\/li>
<\/ul>
PoC<\/h3>
GET<\/span> \/sdk\/..\/grid\/actionDownloadFile.do?url=http:\/\/xxx.dnslog.cn&name=12121&length=2121212 HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> target.com<\/span>
<\/span><\/span>Connection:<\/span> keep-alive<\/span>
<\/span><\/span>sec-ch-ua-platform:<\/span> "Windows"<\/span>
<\/span><\/span><\/code><\/pre>4. 前台RCE漏洞<\/h2>
漏洞位置<\/h3>
命令执行功能模块<\/p>
漏洞原理分析<\/h3>
参数接收<\/h4>

接收type<\/code>和IP<\/code>参数<\/li>
当type=0<\/code>时进入ping逻辑<\/li>
<\/ul>
命令构造<\/h4>
String ip =<\/span> request.<\/span>getParameter<\/span>(<\/span>"ip"<\/span>);<\/span>
<\/span><\/span>String time =<\/span> request.<\/span>getParameter<\/span>(<\/span>"time"<\/span>);<\/span>
<\/span><\/span>String cmd =<\/span> "ping "<\/span> +<\/span> ip +<\/span> " -i 1 -c "<\/span> +<\/span> time +<\/span> " | awk ... > ..."<\/span>;<\/span>
<\/span><\/span>new<\/span> MyThread(<\/span>process,<\/span> cmd,<\/span> fileName).<\/span>start<\/span>();<\/span>
<\/span><\/span><\/code><\/pre>执行流程<\/h4>

调用MyThread.run()<\/code><\/li>
转到CMSTools.execCentosCmd(process, cmd, fileName)<\/code><\/li>
整条命令字符串直接交给\/bin\/sh -c<\/code>解析执行<\/li>
<\/ol>
漏洞验证<\/h3>

port<\/code>参数同样存在命令注入风险<\/li>
可通过构造特殊参数实现远程代码执行<\/li>
<\/ul>
漏洞修复建议<\/h2>
鉴权绕过修复<\/h3>

使用规范化的路径比较方法<\/li>
避免使用简单的字符串包含检查<\/li>
实现严格的身份验证和授权机制<\/li>
<\/ul>
文件上传修复<\/h3>

实施白名单文件类型检查<\/li>
重命名上传文件<\/li>
限制上传目录的执行权限<\/li>
对文件内容进行安全扫描<\/li>
<\/ul>
SSRF漏洞修复<\/h3>

对URL参数进行严格校验<\/li>
使用白名单机制限制可访问的域名\/IP<\/li>
禁用危险的URL协议（如file:\/\/）<\/li>
<\/ul>
RCE漏洞修复<\/h3>

避免直接拼接用户输入到系统命令<\/li>
使用参数化查询或安全的API调用<\/li>
实施严格的输入验证和过滤<\/li>
使用最小权限原则运行应用程序<\/li>
<\/ul>
总结<\/h2>
该管理系统存在严重的安全漏洞，包括鉴权绕过、任意文件上传、SSRF和RCE等高危漏洞。开发人员应重视安全编码实践，在系统设计和实现阶段充分考虑安全性，定期进行安全审计和代码审查，确保系统的安全性。<\/p>

某管理系统源代码审计教学文档<\/h1>

1. 鉴权绕过漏洞分析<\/h2>

漏洞位置<\/h3>
AuthInterceptor鉴权拦截器<\/p>

绕过方法<\/h3>
使用路径遍历符号`\/..\/<\/code>进行权限绕过，即可绕过鉴权检查直接访问受保护资源<\/p>`

第一处上传点<\/h3>

漏洞位置<\/h4>
`\/app\/uploadFileApp.do<\/code>路由<\/p>`

第二处上传点<\/h3>

漏洞位置<\/h4>
`\/manage\/..\/vcsGroup\/actionGroupAddFile.do<\/code>路由<\/p>`

3. 前台SSRF漏洞<\/h2>

漏洞位置<\/h3>
`\/sdk\/..\/grid\/actionDownloadFile.do<\/code>路由<\/p>`

4. 前台RCE漏洞<\/h2>

漏洞位置<\/h3>
命令执行功能模块<\/p>

漏洞原理分析<\/h3>

漏洞修复建议<\/h2>

总结<\/h2>
该管理系统存在严重的安全漏洞，包括鉴权绕过、任意文件上传、SSRF和RCE等高危漏洞。开发人员应重视安全编码实践，在系统设计和实现阶段充分考虑安全性，定期进行安全审计和代码审查，确保系统的安全性。<\/p>

某管理系统源代码审计教学文档<\/h1>

1. 鉴权绕过漏洞分析<\/h2>

漏洞位置<\/h3> AuthInterceptor鉴权拦截器<\/p>

绕过方法<\/h3> 使用路径遍历符号\/..\/<\/code>进行权限绕过，即可绕过鉴权检查直接访问受保护资源<\/p>

第一处上传点<\/h3>

漏洞位置<\/h4> \/app\/uploadFileApp.do<\/code>路由<\/p>

第二处上传点<\/h3>

漏洞位置<\/h4> \/manage\/..\/vcsGroup\/actionGroupAddFile.do<\/code>路由<\/p>

3. 前台SSRF漏洞<\/h2>

漏洞位置<\/h3> \/sdk\/..\/grid\/actionDownloadFile.do<\/code>路由<\/p>

4. 前台RCE漏洞<\/h2>

漏洞位置<\/h3> 命令执行功能模块<\/p>

漏洞原理分析<\/h3>

漏洞修复建议<\/h2>

总结<\/h2> 该管理系统存在严重的安全漏洞，包括鉴权绕过、任意文件上传、SSRF和RCE等高危漏洞。开发人员应重视安全编码实践，在系统设计和实现阶段充分考虑安全性，定期进行安全审计和代码审查，确保系统的安全性。<\/p>

漏洞位置<\/h3>
AuthInterceptor鉴权拦截器<\/p>

绕过方法<\/h3>
使用路径遍历符号`\/..\/<\/code>进行权限绕过，即可绕过鉴权检查直接访问受保护资源<\/p>`

漏洞位置<\/h4>
`\/app\/uploadFileApp.do<\/code>路由<\/p>`

漏洞位置<\/h4>
`\/manage\/..\/vcsGroup\/actionGroupAddFile.do<\/code>路由<\/p>`

漏洞位置<\/h3>
`\/sdk\/..\/grid\/actionDownloadFile.do<\/code>路由<\/p>`

漏洞位置<\/h3>
命令执行功能模块<\/p>

总结<\/h2>
该管理系统存在严重的安全漏洞，包括鉴权绕过、任意文件上传、SSRF和RCE等高危漏洞。开发人员应重视安全编码实践，在系统设计和实现阶段充分考虑安全性，定期进行安全审计和代码审查，确保系统的安全性。<\/p>