通过发送 JSON 来执行命令?了解 Ruby 项目中不安全的反序列化漏洞如何运作

最新推荐文章于 2024-08-24 22:16:54 发布
最新推荐文章于 2024-08-24 22:16:54 发布
阅读量440 收藏 20
点赞数 12
文章标签: 安全 json ruby
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51524329/article/details/141506111
版权

攻击者是否可以通过发送 JSON 在远程服务器上执行任意命令?是的,如果正在运行的代码包含不安全的反序列化漏洞。但这怎么可能呢?

在这篇博文中,我们将描述不安全反序列化漏洞的工作原理以及如何在 Ruby 项目中检测它们。这篇博文中的所有示例都是使用 Ruby 的 Oj JSON 序列化库制作的,但这并不意味着它们仅限于此库。在这篇博文的最后,我们将链接到一个存储库,其中包含适用于 Oj (JSON)、Ox (XML)、Psych (YAML) 和 Marshal (自定义二进制格式) 的有效示例漏洞,并向您展示 CodeQL 如何检测此类漏洞。了解不安全反序列化的工作原理可以帮助您完全避免此类错误,而不是专注于避免某些方法。

内容

一步步:为 Oj 构建检测工具链

许多人都知道如何利用反序列化漏洞。但它究竟是如何运作的呢?(这既是魔法,也是汗水和泪水。)在本节中,我们将展示如何为 Oj(一个基于 Ruby 的 JSON 反序列化库)构建一个调用外部 URL 的不安全反序列化检测小工具。此检测小工具基于 William Bowling(又名vakzz)为 Marshal 和 Ruby 3.0.3 开发的通用反序列化小工具,适用于 Oj 和 Ruby 3.3。

1. 从课程开始

大多数情况下,不安全的反序列化漏洞都与反序列化库支持多态性的能力有关,这意味着能够实例化序列化数据中指定的任意类或类状结构。然后,攻击者将这些类链接在一起,在被利用的系统上执行代码。所有使用的类通常都必须由被利用的项目访问。在这种情况下,用于特定目的(例如执行命令或代码)的类称为小工具。而通过将这些类组合起来成为更大漏洞的一部分(例如,通过嵌套它们),我们得到了所谓的小工具链。序列化和反序列化任意构造的能力长期以来被视为一项强大的功能,它最初并非用于代码执行。2015 年,随着 FoxGlove Security 发布了一篇关于广泛存在的 Java 反序列化漏洞的博客文章,公众对此功能的看法发生了变化。2017 年,BlackHat 上展示了针对基于 Java 和 .NET 的 JSON 库的不安全反序列化攻击,标题为“ 13 号星期五:JSON 攻击”。

当使用名为 Oj 的(非默认)Ruby 库反序列化 JSON 时,项目很容易受到攻击,只需构造如下内容即可:

data = Oj.load(untrusted_json)

Oj 库默认支持 JSON 中指定的类的实例化。可以通过指定附加参数或使用来禁用此行为Oj.safe_load

正如介绍中所提到的,不安全的反序列化漏洞不仅限于 JSON;它们可能发生在从用户控制的数据反序列化的任意类或类似类的结构的任何地方。

要实例化一个名称为 且具有内容为MyClass的字段的类,必须将以下 JSON 传递给易受攻击的 Oj 接收器。membervalue

{
   
    "^o": "MyClass",
    "member": "value"
}

2. 接下来是映射(哈希)、列表、getter、setter、构造函数等

虽然类的实例化是反序列化不安全漏洞最常见的特征,但接下来的构造块因语言而异。虽然在 Java 和类似语言中,反序列化不安全漏洞有时会使用构造函数、setter 和 getter 来初始触发代码执行,但对于 Ruby 反序列化漏洞,我们不能依赖它们。Vakzz的博客文章是关于 Ruby 二进制 Marshal 序列化的利用,它依赖于一种所谓的魔术方法(在序列化对象重建中调用的方法)_load(类似于 Java 的readObject)来触发代码执行。但是,Oj 不会调用这个魔术方法,因此为了触发我们的小工具链的执行,我们不能依赖这个方法,而必须找到其他方法。

首先回答这个问题:我们可以使用什么来触发 Oj 中的代码执行?

方法hash(code)

Oj 并不是我们依赖该hash方法作为小工具链启动的唯一反序列化库。hash当反序列化库将键值对添加到哈希图(在 Ruby 中简称为哈希本身)时,通常会在键对象上调用该方法。

下表展示了 Ruby 中流行的序列化库的启动方法:

图书馆 输入数据 课堂内开球方法
元帅(红宝石) 二进制 _load
橙汁 JSON hash(类需要作为键放入哈希(映射)中)
XML hash(类需要作为键放入哈希(映射)中)
心理学(红宝石) YAML hash(类需要作为键放入哈希(映射)中)
init_with
JSON (Ruby) JSON json_create([参见最后关于 json_create 的注释](#table-vulnerable-sinks))

让我们创建一个小的概念证明来演示如何使用该hash方法启动我们的小工具链。

我们假设我们有一个类,例如下面的类,在目标 Ruby 项目中可用(提示:在实际项目中不会有这样的小工具):

class SimpleClass
  def initialize(cmd)
    @cmd = cmd
  end

  def hash
    system(@cmd)
  end
end

调用“hash”将使用“system”执行“@cmd”成员变量中的命令。请注意,在 Oj 反序列化过程中,不会执行构造函数。在这里,我们使用它自己创建一个快速示例有效负载并转储生成的 JSON:

require 'oj'

simple = SimpleClass.new("open -a calculator") # command for macOS

json_payload = Oj.dump(simple)
puts json_payload
注意:虽然直接序​​列化单个小工具可能有意义,但序列化甚至只是调试整个小工具链通常很危险,因为它可能会在序列化过程中触发链的执行(这不会给你预期的结果,但你会“利用”你自己的系统)。

有效载荷 JSON 如下所示:

{
    "^o": "SimpleClass",
    "cmd": "open -a calculator"
}

如果我们现在加载这个 JSON,什么Oj.load也不会发生。为什么?因为实际上没有人调用 hash 方法。</

最低0.47元/天 解锁文章
红云谈安全
关注
  • 12
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OWASP Top 10大漏洞简要介绍
SuPejkj的博客
01-07 4553
0x00 前言 OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。 A1:2017-注入 将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL...
网络安全课第六节 反序列化漏洞的检测与防御
fegus的博客
07-11 3473
上一讲介绍了 XXE 漏洞,它在业务场景很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
Jackson反序列化代码执行漏洞
I want to know a little more.
06-09 2340
在我们的一次研究过程,我们分析了一个使用Jackson库对JSON进行反序列化的应用程序。在分析过程,我们寻找到一个反序列化漏洞,并可以对反序列化的类进行控制。在本文,我们将向读者展示攻击者如何利用此反序列化漏洞来触发服务器端请求伪造(SSRF)和远程代码执行等攻击。 该研究催生了新的CVE-2019-12384生成,并影响到了一系列RedHat产品: 漏洞攻击条件 正如Jackson在On Jackson CVEs写到的那样:下面是利用工具需要的要求: (1)应用程序接受由不受信任的客
Ruby安全漫谈
Moyun_vackbot的博客
08-30 927
随着Ruby越来越流行,Ruby相关的安全问题也逐渐暴露,目前,国内专门介绍Ruby安全的文章较少,本文结合笔者所了解Ruby安全知识点以及挖掘到的Ruby相关漏洞进行描述,希望能给读者在Ruby代码审计上提供帮助。......
关于Insecure Deserialization,不安全反序列化
小雨的博客
03-06 3486
安全反序列化,owasp top 10,web安全
JAVA反序列化安全
c0c0cf的专栏
09-15 6181
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列化漏洞有十年的历史,存在于不同的编程语言,最为明显的当属Java、PHP、Python、Ruby漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程被还原成对象,
常见漏洞知识库(原理/场景/修复)
lefooter的博客
04-30 6042
SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。 0x02 常见应用场景 SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...
Java代码审计之RCE(远程命令执行)
liguangyao213的博客
03-02 6053
Java代码审计系列课程(点我哦) 漏洞原理: RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。 出现此类漏洞通常由于应用系统从设计上须要给用户提供指定的远程命令操做的接口。通常会给用户提供一个ping操做的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 而若是设计者在完成该功能时,没有作严格的安全控制,则可能会致使攻击者经过该接口提交“意想不到”的命令,从而让后台进行执行,从而控制整个后台服务器 runti
安全漏洞】Emissary 的SSRF漏洞(CVE-2021-32639)发现过程
HBohan的博客
09-09 567
导语:通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093)。 通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093),但也发现了新的漏洞: 不安全反序列化漏洞 (CVE-2021-32634); 服务器端请求伪造漏洞(CVE-2021-32639); 原始代码注入CVE (CVE-2021-32096)是由社区贡献的CodeQL查询标记的; 到目前为止,还可以通过默认的.
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序,当接收到从网络或持久存储读取的数据,并将其转换回原来的对象实例时...
叉车ai行人防撞预警系统,前后盲区防撞报警,让行车更安全
jiuxindianzi的博客
08-20 520
九盾叉车AI防撞预警系统,含九配件,三颗摄像头监测盲区与疲劳,可选车速等配件增强安全监测。特点包括实时监测、动态规划、高精度定位、多级防撞等,全方位保障叉车操作安全
OV SSL证书:增强网站信任与安全的重要保障
alsknv的博客
08-20 1308
OV SSL证书,全称为Organization Validation SSL证书,是一种需要通过验证网站或组织真实身份才能颁发的SSL证书。它不仅能为网站提供数据传输的加密功能,还能向用户展示网站的真实身份,增强用户的信任感。OV证书适用于所有需要在线信任和安全的网站,特别是电子商务网站、在线银行、金融机构以及企业门户网站等。OV SSL证书_企业验证级SSL证书-JoySSLOV是英文单词Organization Validation的缩写,即单位组织信息验证。
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
最新发布
weixin_71529930的博客
08-24 265
非约束委派存在不安全性,所以微软在Windows server 2003引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 334
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
安全json反序列化漏洞怎么修复
05-10
JSON反序列化漏洞可以通过以下几种方式进行修复: 1. 使用类型控制:在反序列化时,可以使用类型控制来限制反序列化的类型。这可以通过在JSON字符串添加一个类型字段来实现。在反序列化时,先检查该类型字段,只有在该字段的值是预期的类型时才进行反序列化。 2. 对反序列化数据进行验证:在反序列化之前,可以对JSON数据进行验证,以确保它符合预期的结构。可以使用JSON Schema或其他验证库进行验证。 3. 使用安全的序列化/反序列化库:使用经过安全验证的序列化/反序列化库,如Gson、Jackson等。 4. 限制反序列化的范围:只反序列化必要的数据,并限制反序列化的深度和复杂性。 5. 使用白名单:创建一个白名单,只允许反序列化特定的类。这可以通过配置反序列化库来实现。 实施以上措施可以有效地防止反序列化漏洞的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值