一、漏洞信息

帆软 FineReport 报表系统在 export/excel 接口存在文件上传漏洞。攻击者可以通过构造恶意的大数据集导出请求，在 LargeDatasetExcelExportJS 组件中注入恶意 SQL 语句。利用 SQLite 数据库的 VACUUM into() 功能结合路径遍历技巧，攻击者能够将包含 JSP WebShell 的恶意内容写入到 Web 可访问目录中。该漏洞无需身份验证即可利用，攻击者通过精心构造的 XML 载荷，在参数中使用 CONCATENATE 函数拼接 SQL 命令来绕过安全检测，最终实现任意文件写入和远程代码执行。

二、应用指纹

title="数据决策系统" || body="/WebReport/ReportServer?" || body="FineReport" || body="/webroot/decision" || body="/webroot/decision/file?path=" || title="FineReport" || title="FineReport报表" || title="FineBI"

三、利用细节

1、首先获取目标系统的可用 sessionID

GET /webroot/ReportServer HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
Connection: close
op: getSessionID
viewlets: [{'reportlet':'/'}]
Accept-Encoding: gzip

2、发送请求，将恶意数据包插入到请求头： params，还需要将 sessionID 修改为第一步获取的。
该请求会将数据库导出到 /webroot/static.txt，访问 url/webroot/static.txt 即可下载导出的文件，可以将下载的文件名改名为static.db，然后用Navicat打开SQLite数据库。

四、POC文件