记一次代码审计之nbcio-boot从信息泄露到Getshell

文章预览

原文首发在：奇安信攻防社区 https://forum.butian.net/share/3698 一、项目简介 NBCIO 亿事达企业管理平台后端代码，基于jeecgboot3.0和flowable6.7.2，初步完成了集流程设计、流程管理、流程执行、任务办理、流程监控于一体的开源工作流开发平台，同时增加了聊天功能、大屏设计器、网盘功能和项目管理。 项目地址：https://gitee.com/nbacheng/nbcio-boot 二、环境搭建 只需修改配置文件中的mysql和redis连接信息即可正常运行。 三、未授权分析 在ShiroConfig中放开了actuator方法的未授权访问 org/jeecg/config/shiro/ShiroConfig.java:156 直接访问/actuator/httptrace可以免认证获取管理员的token信息 四、RCE分析 此处代码调用了ScriptEngine的eval方法，此方法若不做特殊处理易引起代码注入问题，这里不做过多解释。 com/nbcio/modules/estar/bs/service/impl/DataSetParamServiceImpl.java:99 根据方法调用反向跟踪到 ………………………………