事件背景
虽然这个洞已经不新了,起因是_国_护_ 期间被打进来了,于是复现了下,既然活动已经结束了,把一点复现过程放出来吧,不放EXP等关键信息了,以免不合规利用。
被打的第二天想找相关资料复现,结果只有BI的,虽然没有EXP,但是学习大佬们的帖子,还是可以把BI的RCE复现,然而 FineReport 的包和BI不一样,无法原样照搬,最后还是自己找到了个利用链,可以实现任意文件上传,不知道有没有可以直接RCE的大佬,可以传授我下~~。
BI复现
试了下touch文件,利用成功,参考链接都放文末了:
FineReport 复现
同样思路,将FineReport相关jar引入寻找利用类,但是InvokerTransformer没有实现serializable接口,无法仿照BI直接RCE:
最后找到个文件写的利用链,传马成功,可以参考文末链接学习:
参考链接
帆软channel接口反序列化漏洞分析
帆软 FineReport/FineBI channel反序列化漏洞分析
[Java反序列化]AspectJWeaver反序列化
AspectJWeaver反序列化利用链
以及git上ysoserial、bi分析等