帆软 FineReport/FineBI channel反序列化漏洞分析

已于 2023-07-18 16:11:07 修改
阅读量2.2w 收藏 7
点赞数 4
文章标签: finebi java
于 2023-07-18 16:08:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51295677/article/details/131789320
版权
文章详细介绍了FineReport和FineBI软件存在的反序列化漏洞,该漏洞可能导致任意代码执行。作者通过环境搭建、漏洞复现和分析,揭示了漏洞触发的关键步骤,包括GZIP压缩、Java反序列化过程,并指出ysoserial生成的payload不适用于此漏洞,而采用P牛提供的CB链可以成功触发漏洞。最后,文章提到了攻击流量的特征,即gzip压缩后的Java反序列化数据流。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件背景

热点漏洞

漏洞说明

1. 漏洞原理:FineReport/FineBI channel接口能接受序列化数据并对其进行反序列化。配合帆软内置CB链会导致任意代码执行。

2. 组件描述:FineReport是一款企业级报表设计和数据分析工具,它提供了丰富多样的组件,用于创建和展示数据报表。

FineBI 是一款企业级的商业智能 (BI) 平台,提供了丰富的功能和组件,用于数据分析、报表生成和数据可视化等任务

3. 影响版本: 2022-08-12 之前的 FineReport10.0/11.0、FineBI5.1 系列均受影响

漏洞复现

环境搭建:https://fine-build.oss-cn-shanghai.aliyuncs.com/finebi/5.1.5/stable_test/backup/2021-02-26/exe/spider/linux_unix_FineBI5_1-CN.sh

安装在虚拟机环境中,需要给虚拟机至少6G内存才能安装终端输入./linux_unix_FineBI5_1-CN.sh即可安装,安装后,直接运行程序,在环境的bin目录中输入命令

tail -F output.log

可以看到环境的URL,访问并登录后如下

向idea的jar库导入FineBI中web中的库,最后跑下脚本即可
EXP已隐藏,仅分享漏洞分析思路

服务器开启端口监听并执行Java代码

最后反弹shell成功,说明恶意执行成功

漏洞分析

访问漏洞接口/webroot/decision/remote/design/channel发现

对环境文件的接口搜索一下发现

看到一个类com.fr.decision.extension.report.api.remote.RemoteDesignResource.onMessage,在idea全局搜搜索查看可以发现

这里就是channel的入口了,步入WorkContext.handleMessage()中

继续跟进messageListener.handleMessage()

看到this.deserializeInvocation(var1, var2),看着想序列化的方法,继续跟进

这里跟进看SerializerHelper.deserialize()

这里的var1是上面传的GZipSerializerWrapper.wrap(InvocationSerializer.getDefault()),跟进看

这里返回的是GZipSerializerWrapper()对象,同时this.serializer为InvocationSerializer对象再回到前面

var0被包装,送入到var1中的deserialize中,前面提到传入返回的对象为GZipSerializerWrapper()因此找到GZipSerializerWrapper.deserialize步入

这里对传入的包再次进行包装最后送入this.serializer.deserialize(var2),前面提到this.serializer对象在构造函数里被赋值了,为InvocationSerializer,最后再步入InvocationSerializer.deserialize

出现了,有两个readObject(),Java反序列化的触发点,总结

请求体传入的字节 	byte[] var0
包装1:			ByteArrayInputStream var1 = new ByteArrayInputStream(var0);
包装2:			GZIPInputStream var2 = new GZIPInputStream(var1)
包装3:			CustomObjectInputStream var3 = new CustomObjectInputStream(var2)

反序列化:		   (Map)var3.readObject()

因此我们需要做的就是构造与几个包装刚好相反的触发链,根据web的包来看,发现其中自带CB1的链子

因此构造CB1链攻击,但是经过尝试,发现ysoserial生成的payload无法达到攻击目的且报了CB1的错

import com.fr.serialization.JDKSerializer;

import java.io.*;
import java.util.Base64;
import java.util.Map;
import java.util.zip.GZIPInputStream;
import java.util.zip.GZIPOutputStream;

public class Test {
    public static void main(String[] args) {
        try {
            String base64String = getBase64();
            byte[] bytes = Base64.getDecoder().decode(base64String);

            // 使用Java反序列化漏洞利用工具生成一个包含恶意代码的序列化对象,并将其序列化成字节数组
            byte[] maliciousBytes = bytes;

            // 构造一个GZIP格式的字节数组,将恶意字节数组存储在GZIP数据块中
            ByteArrayOutputStream baos = new ByteArrayOutputStream();
            GZIPOutputStream gzipOutputStream = new GZIPOutputStream(baos);
            gzipOutputStream.write(maliciousBytes);
            gzipOutputStream.finish();
            byte[] gzipBytes = baos.toByteArray();

            // 将GZIP格式的字节数组封装成一个输入流对象,并作为var0参数传入Env函数中
            InputStream var0 = new ByteArrayInputStream(gzipBytes);
            Env(var0);

        }catch (Exception e){e.printStackTrace();}


    }

    private static void Env(InputStream var0) throws IOException, ClassNotFoundException {
        GZIPInputStream var2 = new GZIPInputStream(var0);
        JDKSerializer.CustomObjectInputStream var3 = new JDKSerializer.CustomObjectInputStream(var2);
        Map map = (Map) var3.readObject();
    }

    private static String getBase64() {
        return "";
    }
}

当将yso的包替换后则成功,最后得出结论应该是yso CB1的链子无法应用于该系统,可能是版本不匹配,不过P牛文章中提到的链子可以

CommonsBeanutils与无commons-collections的Shiro反序列化利用 | 离别歌

可以弹calc,说明P牛的链子可以触发该环境自带jar包的CB1,因此利用了P牛的链子构造出复现中的EXP。

最后攻击的流量为被gzip压缩后带有Java反序列化特征的流。

报表 channel 反序列化漏洞复现
0xSec
11-27 8323
FineReportFineBI 存在反序列化漏洞,攻击者可向 /webroot/decision/remote/design/channel 接口发送精心构造的反序列化数据,在目标服务器上执行任意代码,获取服务器权限。
数据决策系统漏洞_报表漏洞总结
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-24 4032
一、数据决策系统漏洞背景,FineReport报表件是件(中国)公司自主研发的一款纯Java编写的企业级web报表件。主要针对2012年7.0版本存在一些安全漏洞问题。 二、数据决策系统漏洞版本查看弱口令漏洞提供了访问此页面方法 三、数据决策系统漏洞漏洞总结 1.未授权访问漏洞 http://ip/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false //未授权访问内网ip的日志 http://ip/Repo
FineReportchannel反序列化漏洞复现的简单记录(不含EXP)
lostnerv的专栏
08-25 5428
FineReport 的包和BI不一样,无法原样照搬,最后还是自己找到了个利用链,可以实现任意文件上传,不知道有没有可以直接RCE的大佬,可以传授我下~~。
网络安全常见漏洞篇——反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
02-18 815
反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞。例如,攻击者可以构造恶意的Java序列化数据,其中包含可执行的Java代码,当应用程序使用反序列化操作将该数据还原成对象时,就会执行其中的恶意代码,造成安全威胁。反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
V9任意文件覆盖漏洞+无损上传
网络安全。
01-15 2918
由于WebReport V9在安装之后在WebReport目录下存在update.jsp和update1.jsp,因此可以构造payload直接覆盖这两个文件的内容,从而GetShell。要由chartmapsvg开头,包含.svg时会先创建文件,然后再到后续逻辑,所以只需要xxx.svg.jsp这种格式,不需要覆盖原有文件即可无损利用成功。上传其他 webshell 同理,建议哥斯拉、冰蝎等等。注意:木马的双引号要转义一下。
漏洞通报】最新工具RCE漏洞POC
guanjian_ci的博客
07-26 2375
1、删除 sqlite 驱动:请从工程的 webapps\webroot\WEB-INF\lib 目录中删除sqlite-jdbc-x.x.x.xjar驱动文件,并重启工程以完成更改。2、调整配置文件:在url.properties文件中,请添加以下规则:rule3=/view/ReportServer、rule4=/view/ReportServer/。3、安装 web 应用防火墙插件:请安装并配置相应的最新版 Web 应用防火墙插件。
[代码审计]channel反序列化漏洞hsql链浅析利用
LiangYueSec的博客
09-10 1732
[代码审计]channel反序列化hsql浅析利用
反序列化漏洞
F2444790591的博客
07-31 2105
反序列化漏洞
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
报表 V8.0 组合拳漏洞分析及复现
2301_80115097的博客
12-15 5637
FineReport是一款企业级报表设计和数据可视化件,纯Java编写的企业级web报表工具。它提供了强大的报表设计、数据分析和数据可视化功能,旨在帮助企业用户轻松地创建高质量的报表和数据分析图表。
[漏洞复现]最新前台getshell漏洞及优化poc
LiangYueSec的博客
07-24 4797
[漏洞复现]最新前台getshell漏洞及优化poc
solly0880#wiki# V9 任意文件覆盖文件上传1
07-25
V9 任意文件覆盖文件上传漏洞描述 V9 存在任意文件覆盖,导致攻击者可以任意文件上传漏洞影响 V9漏洞复现。
Thinkergod#PeiQi-WIKI-POC# V9 任意文件覆盖文件上传1
07-25
V9 任意文件覆盖文件上传漏洞描述 V9 存在任意文件覆盖,导致攻击者可以任意文件上传漏洞影响 V9漏洞复现。
FineReportFineBI认证考试试题
01-26
FineReportFineBI作为公司开发的两款BI工具,广泛应用于报表设计和数据处理领域。FineReport是一款报表工具,它支持多源数据整合和报表设计,以及数据的可视化展示。而FineBI则更注重于数据的分析和可视化处理...
大数据可视化分析工具FineBIFineReport的比较.pdf
11-08
大数据可视化分析工具FineBIFineReport件旗下的两款数据分析工具,两者都具有强大的数据分析和报表制作能力,但它们在概念、模块、性能和应用场景等方面存在着一定的区别。 1. 概念简述 FineBI是一款...
FineReport/大屏背景及边框图
09-24
FineReport/大屏背景及边框图】是一个关于使用FineReport工具设计和创建大屏幕展示背景图像和边框元素的专题。FineReport是一款强大的报表设计件,专为企业的数据分析和可视化需求而设计。在大数据时代,...
finereportfinebi差别_FineBIFineReport对比
weixin_31614235的博客
12-24 2520
FineBIFinereport件旗下的两款数据分析工具。那么肯定有很多用户不清楚两款产品的区别及各自的优势所在。下面就为大家介绍两款产品的异同。1.概念简述1)BI是一款数据分析工具。报表是数据展示工具。2)使用BI对同一个问题从不同的角度进行分析、以多种形式展现分析结果、通过管理驾驶舱突出业务问题的本质。使用报表制作中国式复杂报表、固定格式报表、周报、月报等。3)BI做出的分析是给...
网络安全之反序列化漏洞
qq_52074678的博客
05-11 1314
一·PHP类与对象 类Class 一个共享相同结构和行为的对象的集合 <?php class MyClass{ var $var1; var $var2 ="constant string"; function myfunc ($arg1,$arg2){ [......] } [....] } ?> 类的实例 $baidu = new Site; $kitty = new Cat; $benz = new Car; 二
报表 2012 信息泄露漏洞导致RCE
孤桜懶契
04-25 5709
漏洞描述 i ⭐报表 2012 存在信息泄露漏洞,通过访问特定的Url获取部分敏感信息 漏洞影响 s ✅报表 2012 空间测绘 d ⭕FOFA:body="down.download?FM_SYS_ID" 漏洞复现 访问ip日志EXP http://xxx.xxx.xxx.xxx/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false ✅ 数据库信息泄露 http://xxx.xxx
finereport/大屏背景及边框图
12-08
finereport/大屏背景及边框图是公司提供的一项数据可视化解决方案,旨在帮助用户设计出具有美观效果和丰富信息的大屏展示。背景图可以根据用户需求选择不同的主题和风格,例如科技感十足的未来风、清新简约的自然风等,以及不同的颜色和图案,满足用户对于大屏展示的个性化要求。边框图则是在大屏展示的边缘添加装饰线条或图案,增强整体的视觉效果和美感,使整个大屏看起来更加精致和专业。 用户可以根据自己的需求和品牌形象选择合适的背景及边框图,以便在大屏上展示出符合公司形象和活动主题的内容。这些图形设计精美,可以有效提升展示内容的吸引力和可读性,同时也为用户提供了更多个性化定制的空间,使大屏展示更具个性化和专业化。 总之,finereport/大屏背景及边框图为用户提供了丰富多样的选择,帮助他们设计出符合品牌形象和活动主题的大屏展示内容,增强了信息传达的效果和吸引力,是一项非常实用的数据可视化工具。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

errorr0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值