文章作者：rebeyond

受影响版本：v6~v7

漏洞说明：

JEECMS是国内Java版开源网站内容管理系统（java cms、jsp cms）的简称。该系统基于java技术开发，继承其强大、稳定、安全、高效、跨平台等多方面的优点；采用SpringMVC3+Spring3+Hibernate3+Freemarker主流技术架构。广泛应用于*（部委和省级*部门、市、县、乡及委办局）、教育科研（大、中、小学及各地方教育局）、电信运营商、金融（证券、保险及银行）、企业（矿业、煤炭、旅游、石油集团及大中型制造类企业）、新闻媒体（报社、网媒）等数字化信息平台建设领域。

该系统提供上传功能，其中对用户提交的上传文件没有进行充分的检查，导致任意注册用户在前台即可上传任意格式的文件。

利用场景：前台注册用户。默认注册地址：http://xxx.com/register.jspx。

漏洞分析：

JEECMS的安全一向口碑不错，前段时间曝光过一个任意文件上传漏洞，利用的是\00截断，之后的版本添加了对文件名是否含\00的判断，如下图所示，修复了该问题。

但是另外一个上传组件提供了一个拉取远程图片的功能，该组建并没有对远程文件的类型进行足够的判断，导致用户可以从远程拉取任意格式的文件，下面看代码：

远程文件的url直接由客户端的upfile参数传入，之后以ue_separate_ue为分隔符来进行分割，之后直接调用saveRemoteImage函数，下面跟进saveRemoteImage函数：

该函数直接调用HttpClient类建立连接，读取字节流，然后通过UploadUtils.generateFilename来获取保存路径，此处只用Apache的FileNameUtils.getFileSufix方法来获取扩展名，没有进行任何验证。最后通过IOUtils.copy完成文件的创建。

漏洞演示：

漏洞原理了解之后，下面就好办了，先本地假设个环境：

通过构造如下的表单，来进行提交：

访问返回的URL，文件成功上传：

通过谷歌搜索powered by jeecms，共7万多个结果：

【原创】JEECMS v6~v7任意文件上传漏洞（1）的更多相关文章

1. 【原创】JEECMS v6~v7任意文件上传漏洞（2）

   文章作者:rebeyond 受影响版本:v6~v7 漏洞说明: JEECMS是国内Java版开源网站内容管理系统(java cms.jsp cms)的简称.该系统基于java技术开发,继承其强大.稳定 ...

2. 【代码审计】JTBC(CMS)_PHP_v3.0 任意文件上传漏洞分析

     0x00 环境准备 JTBC(CMS)官网:http://www.jtbc.cn 网站源码版本:JTBC_CMS_PHP(3.0) 企业版 程序源码下载:http://download.jtbc. ...

3. 【代码审计】QYKCMS_v4.3.2 任意文件上传漏洞分析

     0x00 环境准备 QYKCMS官网:http://www.qykcms.com/ 网站源码版本:QYKCMS_v4.3.2(企业站主题) 程序源码下载:http://bbs.qingyunke. ...

4. 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞分析

     0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

5. 【代码审计】CLTPHP_v5.5.3 前台任意文件上传漏洞

   0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chichu/ ...

6. 中国电信某站点JBOSS任意文件上传漏洞

   1.目标站点 http://125.69.112.239/login.jsp 2.简单测试 发现是jboss,HEAD请求头绕过失败,猜测弱口令失败,发现没有删除 http://125.69.112. ...

7. CKFinder 1.4.3 任意文件上传漏洞

   CKFinder 是国外一款非常流行的所见即所得文字编辑器,其1.4.3 asp.net版本存在任意文件上传漏洞,攻击者可以利用该漏洞上传任意文件. CKFinder在上传文件的时候,强制将文件名(不 ...

8. WordPress Contact Form 7插件任意文件上传漏洞

   漏洞名称: WordPress Contact Form 7插件任意文件上传漏洞 CNNVD编号: CNNVD-201311-415 发布时间: 2013-11-28 更新时间: 2013-11-28 ...

9. WordPress Suco Themes ‘themify-ajax.php’任意文件上传漏洞

   漏洞名称: WordPress Suco Themes ‘themify-ajax.php’任意文件上传漏洞 CNNVD编号: CNNVD-201311-403 发布时间: 2013-11-28 更新 ...

随机推荐

1. idea之resource配置

   1.问题 在idea中配置springmvc项目,用hibernate管理数据库,在web.xml中作如下配置: <!--配置hibernate数据库连接--> <listener& ...

2. Android获取ROOT权限

   获取Android的ROOT权限其实很简单,只要在Runtime下执行命令"su"就可以了. // 获取ROOT权限 public void get_root(){ if (is_ ...

3. 战舰少女 黑暗炼钢 按键精灵 代码及apk下载

   注: 该代码仅仅适用于1920*1080分辨率的android手机,因为我只有这个分辨率的手机TnT 代码其实蛮简单的,都是比较简单的模拟就好了…… 要改也比较轻松吧 APK下载地址:链接: http ...

4. 关于我们-成功人士西装定制服务*派斯特PAISTETAILOR绅士礼服

   关于我们-成功人士西装定制服务*派斯特PAISTETAILOR绅士礼服 北京派思特服装服饰有限公司国内领先绅士男装定制品牌PAISTETAILOR,引领男装定制的领航者.

5. Thrift生成的bean对象，用java内省操作时注意&lpar;自己笔记&rpar;

   项目需要,需要使用内省操作,将数据写入thrift生成的bean里,于是按常理getWritedMethod.invoke 结果发现set方法找不到,结果看了下thrift自己生成的bean里,set ...

6. Cardboard Talk02 Accelerometer

   操作系统:Windows8.1 显卡:Nivida GTX965M 开发工具:Android studio 3.0.0 | Cardboard 1.0 在深入讨论具体实现之前,有必要了解一下Andro ...

7. 项目管理---git----快速使用git笔记&lpar;一&rpar;------git的简单介绍

   最近svn代码管理服务器崩溃了,切换到git来运作. 经过几天的使用,感觉很不错. 尤其是代码合并到正式版本之前 可以对代码进行 code review. 这样能很好的保证团队的代码质量和一些重复代码 ...

8. 寻找与网页内容相关的图片（三）网易新闻与qq空间的做法

   寻找与网页相关的图片现在看来无非有两种方式,第一种是网页自己指定,第二种是通过算法推断. 对于网站的内容提供者来说,他自己知道相关的图片在哪,正如前文所述可以在HTML的头部加上META标签,也可以像 ...

9. 国际语言代码 Language Code

   语言代码 语言名称 af 南非语 af-ZA 南非语 ar 阿拉伯语 ar-AE 阿拉伯语(阿联酋) ar-BH 阿拉伯语(巴林) ar-DZ 阿拉伯语(阿尔及利亚) ar-EG 阿拉伯语(埃及) a ...

10. 第九章 Servlet API

    第九章 Servlet API Servlet API 定义了Servlet和服务器之间的一个标准接口,这使得Servlet具有跨应用服务器的特性,通过使用Servlet API,开发人员不必关心服务 ...