Smartbi最新认证绕过导致RCE漏洞分析

admin
admin
admin
0
文章
0
评论
2026-01-04 22:20:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Smartbi≤11.0.99471.25193因默认resid可绕过认证,配合后台接口反射调用实现public用户RCE;作者解密官方补丁定位vision/share.jsp的autoLoginByPublicUser逻辑,给出SQL捞出可用c_relateid并演示POC,随后利用已修复的JS引擎接口执行命令,整套流程可复现。 综合评分: 88 文章分类: 漏洞分析,WEB安全,漏洞POC,应急响应,安全工具

cover_image

Smartbi 最新认证绕过导致RCE漏洞分析

原创

killer

漫漫安全路

2025年8月25日 14:00 江西

漏洞描述

近期Smartbi修复了一处认证绕过,攻击者能够利用默认resid绕过认证检查,直接获取有效会话凭证。通过后台接口反射调用危险方法,最终导致远程代码执行漏洞。

影响版本为:Smartbi <= 11.0.99471.25193

补丁分析

从官网下载补丁 https://www.smartbi.com.cn/patchinfo发现补丁被加密,通过查看补丁安装说明找到安装方法后台有一处功能可以手动上传补丁也可直接在线更新,登陆后台点击在线更新,查看burp流量找到补丁安装对应的数据包路由为/smartbi/vision/uploadSecurityPatch补丁加密数据存在patchContent参数里,在web.xml里查找uploadSecurityPatch路由发现找不到。那我们可以直接在javax.servlet.http.HttpServlet#service打断点通过调试表达式获取Servlet对应类为smartbi.security.patch.SecurityPatchUploadServletidea快捷键ctrl+n查找类发现找不到这个类可能是这个类不在我们打包的web项目里通过其他方式加载进来的。比起分析其类加载机制其实有一个更好的办法直接使用调试表达式this.getClass().getProtectionDomain().getCodeSource().getLocation()即可获取类物理路径找到这个jar把他复制到我们的库目录里即可

查看smartbi.security.patch.SecurityPatchUploadServlet#doPost对代码进行分析

进入smartbi.security.patch.PatchFilter#reload

最后在这里对数据进行AES解密keyiv都为1234567812345678模式为cbc,我们直接使用CyberChef解密保存成jar即可打开补丁查看patch.patches文件找到漏洞路径/vision/share.jsp以及对应补丁代码

漏洞分析

查看vision/share.jsp代码

这里注释都写好了获取一个资源ID,如果这个资源ID符合isPublicShareResourceByShareType的话不管当前会话是否已登录,都将当前用户切换为public用户。sink点为autoLoginByPublicUser方法

最后设置session属性

所以我们只需要找到一个资源ID符合isPublicShareResourceByShareType即可获取public用户有效session

从数据库里获取数据,获取的数据需要满足

shareRecord.getPublicshared() == 1 && shareRecord.getEnabled()

所以c_deleted!=1 and c_cancelled!=1 and c_publicshared=1即可。

继续跟入loadByRelateid

进入ShareRecord查找ShareRecord.getShareRecordByRelateid

找到数据查询表名t_share_record列名c_relateid,所以可以写出查询符合条件的SQL语句

select c_relateid from t_share_record&nbsp;where&nbsp;c_deleted!=1 and c_cancelled!=1 and c_publicshared=1

找到两个符合条件的资源ID,构造POC成功获取session

public权限RCE

后台RCE很多这里找一个补丁里面已经修复的

很简单直接调用js引擎执行代码

本文仅供安全研究和学习使用,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用本人负责,公众号及文章作者不为此承担任何责任。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:漫漫安全路 killer《Smartbi 最新认证绕过导致RCE漏洞分析》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0