0x00 前言
学了很久的代审基础,终于到审计项目了。在这一阶段,应该要先学习前辈们的经验,同时要有自己的思考与实践,师傅们尝试过的,没尝试过的,都要尝试一遍。
0x01 基础
环境配置
本次审计使用华夏ERP的两个版本,最新版v3.5和老版本v2.3。项目地址:
搭建过程不必多言,麻烦事还是很多的,自行根据报错解决吧。
需要注意的是,v3.5是前后端独立部署的,后端如果没有配置好Redis,前端是收不到验证码的。
审计思路
- 首先要分析项目配置和依赖,如pom.xml、web.xml等,特别是pom.xml,可以从组件中寻找漏洞。
0x02 Fastjson 反序列化漏洞
先看pom.xml,v2.3的Fastjson版本是1.2.55,v3.5的版本是1.2.83。前者存在漏洞,后者目前不存在漏洞。
关键字parseObject,限定目录为控制器目录,全局搜索:
