告别盲审,用Agentskill代码审计定位高危漏洞

admin
admin
admin
0
文章
0
评论
2026-04-18 06:34:10 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档介绍了使用code-security-audit工具对华天动力OA系统进行代码审计的实战经验。通过前端JSP和后端JAR包分析,发现了反射式测试控制台残留、任意文件上传、文件读取漏洞等多类高危安全问题。文档提供了工具下载链接并展示了完整的漏洞挖掘流程,最后包含团队交流和培训推广内容。 综合评分: 72 文章分类: 代码审计,漏洞分析,WEB安全,安全工具,实战经验

cover_image

告别盲审,用Agent skill代码审计定位高危漏洞

原创

油漆工 油漆工

C4安全

2026年4月17日 13:47 江苏

在小说阅读器读本章

去阅读

前言

这次审计的项目是老版本的 Java OA 项目-华天动力OA。

项目的前端是 JSP,后端源码为JAR包打包。

这次使用的是优化过的代码审计skill:code-security-audit,吸取了几个代码审计项目的精华。

要提高审计效率,一个成熟的安全审计 skill 需要帮你分拣漏洞点并收集成结论。

下载地址:

通过网盘分享的文件:code-security-audit.zip链接: https://pan.baidu.com/s/1GAICnzpymHJFo7OepIUqVg?pwd=vwp7 提取码: vwp7

实战测试

在开始测试之前,我还给Agent准备了反编译工具cfr.jar工具

这次审计的任何结果,都按照输入输出进行验证,即 Source -> Transfer -> Sink。

简单来说就是三件事:

  • 输入是从哪儿进来的
  • 中间经过了哪些传递和处理
  • 最后落到了哪个危险代码里

在开始代码审计,我们需要让AI首先去审计前端的JSP文件,发现漏洞入口

前端审计完成,开始审计后端代码补充验证

整个流程审计完成后,来看看最终成果的报告

  1. 从“测试页”到“生产可达的反射控制台”

最开始的一组页面:pageTest.jsp、pageTestService.jsp、pageTestMethod.jsp、pageTestResult.jsp。

顺着代码往下看,会发现:

  • pageTest.jsp 会列服务类
  • pageTestService.jsp 会反射读取方法
  • pageTestResult.jsp 会拼参数,再去 invoke

看到这里,最多只能说“疑似测试功能残留”。

继续把对应后端 JAR 反编译了,用 cfr-0.152.jar 去看对应的类 JspFilter。

发现这个过滤器根本不是鉴权过滤器。它只是把参数里的 <、>、” 编码一下,然后就进行 chain.doFilter() 了。

到这一步,可以明确把这个漏洞写进报告里了。

  1. 文件上传漏洞

第二个这个是真实存在的漏洞,网上也有公开的漏洞利用信息了。

前端 JSP 能看到存在多个 ntkoupload.jsp。继续往下看会发现表单里直接带着 newFileName 这类字段。再跟到后端处理逻辑查看,服务端逻辑基本就是:

  • 接收 newFileName
  • new File(newFileName)
  • fileItem.write(…)

先把文件写到临时目录,再根据请求里的 filePath 调 moveFile(…) 复制文件过去。

  1. 疑似漏洞

第三个漏洞是移动端的文件预览,利用前提是需要知道文件ID,但是其实利用难度很大了。

前端的 oapubptviewfile.jsp 接收 filePath 参数,然后按 pdf/doc/xls/html 走不同的预览逻辑。

整个功能的流程如下:

  • htmlToHtml(filePath) 会按传入路径去处理文件
  • pictureToHtml(filePath, fileType) 也是一样
  • pdfDatToPdf(filePath) 也是一样

按用户传进来的服务器路径读文件。

继续往上追踪代码,HtEntranceService 有 token 处理,再看看 HtFileService.getFileTempPath,结果发现它甚至没有真正利用传入的 userInfo 去做约束,很多逻辑只认传入的 fileTempId。

总结

这次审计发现的漏洞比较典型的是下面几类:

  • 生产环境残留反射式测试控制台
  • 上传接口信任客户端传入的服务器路径,导致任意文件写入
  • 移动端文件预览接受物理路径,导致任意本地文件读取
  • 多个查看和下载接口缺少对象级鉴权
  • 多处未转义输出导致 XSS
  • .p12、.keystore 这类敏感证书文件直接放在 Web 根目录

感兴趣的师傅可以公众号私聊我进团队交流群,咨询问题,hvv简历投递,nisp和cisp考证都可以联系我

内部src培训视频,内部知识圈,可私聊领取优惠券,加入链接:https://wiki.freebuf.com/societyDetail?society_id=184 安全渗透感知大家族

(新人优惠券折扣20.0¥,扫码即可领取更多优惠)

加入团队、加入公开群等都可联系微信:yukikhq,搜索添加即可

END

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:C4安全 油漆工 油漆工《告别盲审,用Agent skill代码审计定位高危漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0