漏洞分析 | 漏洞调试的捷径:精简代码加速分析与利用

已于 2023-11-16 23:06:54 修改
阅读量255 收藏
点赞数
分类专栏: 技术分析 Goby 漏洞 文章标签: web安全 网络安全 漏洞分析 技术分享 CVE
于 2023-11-16 14:00:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/134438668
版权
Goby 同时被 3 个专栏收录
184 篇文章 30 订阅
订阅专栏
漏洞
133 篇文章 3 订阅
订阅专栏
技术分析
12 篇文章 2 订阅
订阅专栏

0x01前言

近期,Microsoft威胁情报团队曝光了DEV-0950(Lace Tempest)组织利用SysAid的事件。随后,SysAid安全团队迅速启动了应急响应,以应对该组织的攻击手法。然而,在对漏洞的分析和复现过程中,并未提供详细说明。由于该产品在安装时需要许可证,增加了动态调试漏洞的难度。为了便于调试能够快速复现该漏洞,我们尝试通过只使用部分的单元代码来模拟漏洞的主要逻辑流程进行动态调试分析。最终,我们成功利用 Goby 工具完美地实现了该漏洞的利用。
在这里插入图片描述

0x02 补丁分析

在 SysAid 中发布的公告中说明在 23.3.36 修复了该漏洞,通过 Diff 补丁发现该修复方式主要为限制 com.ilient.server.UserEntry#doPost函数中的 ..来完成的。
在这里插入图片描述

0x03 单元调试

由于安装包在安装时对许可证进行了限制,因此无法有效地进行安装和调试。为了能够高效地进行动态调试,我们采取了以下优化策略:创建一个独立的空项目,将存在漏洞的 Servlet 进行重写,用于单元模拟。通过这种方法,我们可以在没有任何依赖的情况下最小化地运行漏洞点,并顺利完成研究和分析的工作。
通过修复的方式来推断,该漏洞通过目录穿越的方式来指定上传的路径(accountId 参数)以及上传内容来完成利用。
在这里插入图片描述

再收到 accountId 参数值后会通过 a 函数来完成对该路径的拼接,由于该拼接方式存在一定的问题就导致了目录穿越,然后将传入的数据流写入到 accountId 可控的路径。
在这里插入图片描述

在写入完毕之后通过调用 a(var31, var46, var7);完成对传入数据的解压到指定的目录中。
在这里插入图片描述

根据漏洞分析得出漏洞的核心利用点主要取决于 accountId 和 POST 请求传入的字节数据,所以我们可以将存在可能利用的代码进行抽象。

package com.example.sysaid;

import com.ilient.server.IlientConf;

import java.io.*;
import java.util.Arrays;
import java.util.Calendar;
import java.util.Comparator;
import java.util.zip.InflaterInputStream;
import java.util.zip.ZipEntry;
import java.util.zip.ZipInputStream;
import javax.servlet.ServletException;
import javax.servlet.http.*;
import javax.servlet.annotation.*;

@WebServlet(name = "helloServlet", value = "/hello-servlet")
public class HelloServlet extends HttpServlet {
    private String message;

    public void init() {
    }

    public void doGet(HttpServletRequest var1, HttpServletResponse var2) throws IOException {
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse var2) throws ServletException, IOException {
        String accountId = request.getParameter("accountId");
        InflaterInputStream inputStream = new InflaterInputStream(request.getInputStream());
        byte[] bytes = InputStreamUtils.InputStreamToBytes(inputStream);
        String var46  = a(accountId);
        String var7 = request.getParameter("symbolName");
        File var31 = new File(var46 + File.separator + Long.toString(Calendar.getInstance().getTimeInMillis()) + ".zip");
        FileOutputStream var38;
        (var38 = new FileOutputStream(var31)).write(bytes);
        var38.flush();
        var38.close();
        // var46
        a(var31, var46, var7);
        if (!var31.delete()) {
            var31.setWritable(true);
            var31.delete();
        }
    }

    private static void a(File var0, String var1) {
        File var2;
        if ((var2 = new File(var1)).exists() && var2.isDirectory()) {
            File[] var6 = var2.listFiles();
            String var3 = Long.toString(Calendar.getInstance().getTimeInMillis()) + ".bad";
            File var5 = new File(var1, var3);
            if (var0.renameTo(var5)) {
                System.out.println("UserEntry.renameAndMoveFile: File renamed and moved successfully.");
            } else {
                System.out.println("UserEntry.renameAndMoveFile: Failed to rename and move the file.");
            }
            if (var6.length >= 10) {
                Arrays.sort(var6, Comparator.comparingLong(File::lastModified));
                for(int var4 = 0; var4 < var6.length - 9; ++var4) {
                    if (var6[var4].isFile() && !var6[var4].delete()) {
                        System.out.println("UserEntry.renameAndMoveFile: Failed to delete file: " + var6[var4].getName());
                    }
                }
            }
        } else {
            System.out.println("UserEntry.renameAndMoveFile: Invalid output folder specified.");
        }
    }

    private static void a(File var0, String var1, String var2) {
        if (!var2.startsWith("LDAP_REFRESH_")) {
            IlientConf.logger.error(String.format("Error on UserEntry: symboleName %s not validated.", var2));
            a(var0, var1);
        } else {
            byte[] var8 = new byte[1024];
            try {
                ZipInputStream var3;
                for(ZipEntry var4 = (var3 = new ZipInputStream(new FileInputStream(var0))).getNextEntry(); var4 != null; var4 = var3.getNextEntry()) {
                    String var9;
                    if ((var9 = var4.getName()) != null && var9.indexOf("..") >= 0) {
                        System.out.println("Error in UserEntry.unZipIt - Found path manipulation!");
                        a(var0, var1);
                        return;
                    }
                    File var10 = new File(var1 + File.separator + var9);
                    String var5 = (new File(var1)).getCanonicalPath();
                    System.out.println(var10.getCanonicalPath());
                    System.out.println(var5 + File.separator);
                    if (!var10.getCanonicalPath().startsWith(var5 + File.separator)) {
                        System.out.println("Error in UserEntry.unZipIt - File is outside of the output directory!");
                        a(var0, var1);
                        return;
                    }
                    System.out.println("File unzip : " + var10.getAbsoluteFile());
                    FileOutputStream var11 = new FileOutputStream(var10);
                    int var12;
                    while((var12 = var3.read(var8)) > 0) {
                        var11.write(var8, 0, var12);
                    }
                    var11.close();
                }
                var3.closeEntry();
                var3.close();
                System.out.println("Finish unziping: " + var0.getAbsolutePath());
            } catch (Exception var7) {
                var7.printStackTrace();
                System.err.println("UserEntry: Error in unZipIt method:"+ var7);
            }
        }
    }

    public static String a(String var0) {
//        String var1 = IlientConf.getInstance().getNonAccountSharedFilesDir("ldapfiles");
        String var1 = "/1111/SysAidServer/root/WEB-INF/ldapfiles";
        File var2;
        if (!(var2 = new File(var1 + File.separator + var0)).exists()) {
            var2.mkdirs();
        }
        return var1 + File.separator + var0;
    }

    public void destroy() {
    }
}

构建新的 war 工程部署该 Servlet 即可完成对漏洞点单元模拟,用于漏洞的动态调试。
在这里插入图片描述

0x04 总结

在特殊情况下漏洞调试以及武器化利用时无法能够满足最佳的调试环境,我们尝试通过将有漏洞的部分代码进行单元模拟完成漏洞的动态调试。

0x05 参考

https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
https://www.huntress.com/blog/critical-vulnerability-sysaid-cve-2023-47246

Goby 欢迎表哥/表姐们加入我们的社区大家庭,一起交流技术、生活趣事、奇闻八卦,结交无数白帽好友。

也欢迎投稿到 Goby(Goby 介绍/扫描/口令爆破/漏洞利用/插件开发/ PoC 编写/ IP 库使用场景/ Webshell /漏洞分析 等文章均可),审核通过后可奖励 Goby 红队版,快来加入微信群体验吧~~~

文章来自Goby社区成员:路人丁@白帽汇安全研究院,转载请注明出处。
微信群:公众号发暗号“加群”,参与积分商城、抽奖等众多有趣的活动
获取版本:https://gobysec.net/sale

Gobysec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SysAid userentry 文件上传漏洞复现(CVE-2023-47246
0xSec
12-17 1013
SysAid在userentry存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、读取敏感文件,从而可能导致服务器受到攻击并被控制。
Linux源代码分析工具链
01-09
 看源代码是一个程序员必须经历的事情,也是可以提升能力的一个捷径。个人认为: 要完全掌握一个软件的方法只有阅读源码。  在Windows下有sourceinsight这个源码阅读软件(虽然我没用过,但是网上评价还不错),...
漏洞复现--SysAid On-premise远程代码执行(CVE-2023-47246)
最新发布
qq_53003652的博客
12-18 976
SysAid On-premise 提供了诸如故障报告、资产管理、服务台支持、自动化流程等功能,以帮助 IT 团队更高效地工作。这种部署模式可以满足那些对数据安全性有更高要求的组织,同时也提供了更多的自定义和控制能力,以适应特定的业务需求和流程。该产品存在远程代码执行。
漏洞代码调试(一):Strtus2-048代码分析调试-(CVE-2017-9791)
thelostworld
08-20 407
​Strtus2-048 一、漏洞描述: ActionMessage 并在客户前端展示,导致其进入 getText 函数,最后 message 被当作 ognl 表达式执行所以访问 /integration/saveGangster.action 构造payload。 二、影响版本: Struts 2.3.x with Struts 1 plugin and Struts 1 action 三、漏洞复现: S2-048漏洞问题出现在struts2-struts1-p...
漏洞代码调试(二):Strtus2-001代码分析调试
thelostworld
08-20 716
​ Strtus2-001代码分析调试(学习笔记) 一、漏洞描述: Struts2 中的validation机制。validation依靠validation和workflow两个拦截器。validation会根据配置的xml文件创建一个特殊字段错误列表。而workflow则会根据validation的错误对其进行检测,如果输入有值,将会把用户带回到原先提交表单的页面,并且将值返回。反之,在默认情况下,如果控制器没有得到任何的输入结果但是有validation验证错误。那么用户...
网络安全行业报告:2019年度漏洞威胁分析与2020安全展望报告
03-26
2019年共计出现了 18938个CVE漏洞,这些漏洞中可以被通用检测模块扫出来的寥寥无几,而想要手工实现这些漏洞 的检测是一件不可能完成的工作,面对这令人畏惧的数量,有一条捷径是版本匹配技术。简单来 讲,版本匹配...
分析和优化课后习题答案.zip
07-17
《凸分析和优化》是一门深入探讨凸函数和凸集理论及其在最优化问题中应用的高级数学课程。这门课程通常涵盖了广泛的数学概念,包括但不限于凸集、凸函数的性质、凸优化算法以及它们在工程、经济学、机器学习等领域的...
Creo:从二维CAD到三维CAD的捷径——Aquamatic公司应用案例分析.pdf
08-04
Creo:从二维CAD到三维CAD的捷径——Aquamatic公司应用案例分析.pdf
还在手动收集资产?你比别人慢了一步
热门推荐
m0_46699477的博客
11-19 1万+
前言: 之前在进行 Web 打点的资产收集时,总是手动的收集父子公司、手动或半自动化收集根域、子域、C 段,当目标资产较多或多个目标时往往非常繁琐。 值得高兴的是,Goby 内测版发布了一个新功能,叫 ”IP 库“,可以自动化进行资产收集的各个环节,当然不仅限于上述几个方面,还包括 HTTS 证书、图标、关键字等资产收集方式,进一步详细查看官方发布的演示视频,发现其功能涵盖了目前资产收集常见的各个方面,集成了此功能后,前渗透 Web 攻击中的资产收集、指纹识别、漏洞检测、口令检测 Goby 都已涵盖,是一.
来了!Goby一年一度的红队专版正式发布!!
m0_46699477的博客
03-19 1万+
某大型活动临近,盆圈开始热闹起来,各种抢人大赛以及群集结号声!Goby今年有什么动作呢?→继续支持攻击队——红队,也称蓝军。 为何有且仅有红队专版? 如果对方是一位绝世武功高手且拥有绝世宝剑,你肯定没有信心与他一战,但如果给你配一把枪呢?哪怕是一把小米加步枪? 自Goby去年初打通渗透前中后流程并提出“实战”口号后,收到很多表哥/表姐的反馈,TOP10如下: 漏洞可以多一点吗?最好都是可以一键getshell的那种,且极少的漏报及误报 可以开放漏洞框架,让我们录漏洞吗? 新爆的漏洞可以更新快一点.
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8619
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
插件分享 | Vulfocus 快速启动靶场环境一键打靶
m0_46699477的博客
12-01 6318
作为安全小白的插件作者,曾经最困惑的就是,拿着自带强大靶标漏洞库的 Goby 去扫描,却总是很难找到漏洞的影子,这让起步去学习安全知识这件事变得困难,后来了解到靶场工具,开始使用 Vulfocus,一个想法随之产生:将 Vulfocus 通过插件的方式集成到 Goby,更方便快捷的一键启动漏洞环境一键扫描漏洞。于是现在的这款插件应运而生~
Goby自定义漏洞之EXP
m0_46699477的博客
11-06 5798
前言:自定义漏洞配合EXP,提高漏洞利用速度,简直是爽的飞起!自从HVV的时候Goby发布HVV专版,羡慕死了,就是太菜没傍上红方大佬的腿。虽然最终用上了HVV专版,但是一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞!特别感谢Goby的大佬——帅帅的涛哥支持 0x001 最终效果 直接获取明文密码,点击验证。 0x001 编写流程 我在《自定义PoC对接插件》一文中已经介绍过了如何编写自定义P..
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞CVE-2022-32417)
m0_46699477的博客
04-01 5627
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
插件分享 | 来检测带外(Out-of-Band)流量的Ceye
m0_46699477的博客
03-22 5160
它的使用场景主要是在一些不能直接表明攻击是否成功的漏洞利用的过程中,通过使用 CEYE 平台提供的域名,结合诸如 DNS、HTTP 之类的带外信道来得到我们想要的回显信息,从而达到对漏洞的检测。
技术分享 | 从致远OA-ajax.do任意文件上传漏洞复现到EXP编写
m0_46699477的博客
01-27 4865
前言: 最近网上爆出致远OA ajax.do登录绕过和任意文件上传漏洞,影响部分旧版致远OA版本(致远OA V8.0,致远OA V7.1、V7.1SP1,致远OA V7.0、V7.0SP1、V7.0SP2、V7.0SP3,致远OA V6.0、V6.1SP1、V6.1SP2,致远OA V5.x,致远OA G6)。互联网上已经有基于Python的EXP,为了更好的发挥Goby的作用,尝试在Goby上编写EXP工具。 0x001 漏洞复现 漏洞复现主要分以下三个部分: 1.1 未授权访问 参考unicodeS.
关于 Goby 红队专版获取指南!
m0_46699477的博客
03-31 4617
自红队专版发布以来,受到大家热情的关注,申请人数大大大超出了我们的预期。为避免 Goby 沦为黑客非法用途工具,我们选择有限制的小范围开放红队专版。对于没有及时处理与回复,深感歉意。关于新一轮 License 发放, 现经过短时间审视及复盘,重新完善了申请流程,详情往下看↓↓↓ 0×01 获取渠道 1. 授权红队 授权红队为参加某演练活动方,为确保 Goby 用于合法使用,需提供您的相关证明。 1.提供:① 加盖公司公章的承诺函(模板下载) ② 相关的授权证明(如邀请函、授权函、通知) 2.名额:每个单位.
Xray爬虫如何联动到Goby
m0_46699477的博客
11-03 4463
可以进行web爬虫的Xray插件如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 前言:Xray有多香想必大家应该是知道的(上星期在做某演练的时候就用Xray扫到了不少洞)。所以,当时看见Github上有联动Xray的需求,就尝试着写了此插件。本次讲的会稍微仔(啰)细(嗦)一点,希望通过此次分享,大家
打造极品PPT:精简内容,高效利用母板与模板
此外,还分享了幻灯片制作的捷径——使用模板,以及谋篇布局的要点,如内容精炼、色彩和谐、动画恰当和文字简洁。文中还解释了幻灯片母版的概念,其作用是节省格式设置时间并保持整体风格一致,以及如何制作幻灯片...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值