JavaMelody组件XXE漏洞解析

最新推荐文章于 2022-06-14 18:33:35 发布
最新推荐文章于 2022-06-14 18:33:35 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: java性能监控

转载:https://www.codercto.com/a/27038.html

0x00 概述

JavaMelody 是一个用来对 Java 应用进行监控的组件。通过该组件,用户可以对内存、 CPU 、用户 session 甚至 SQL 请求等进行监控,并且该组件提供了一个可视化界面给用户使用。

最近,该组件被爆出一个 XXE 漏洞—— CVE-2018-15531 ,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。

0x01 漏洞复现

我们使用 SpringBoot web 来搭建基础项目,然后将 JavaMelody 集成进来,在 maven 中配置如下:

访问http://127.0.0.1/monitoring出现如下页面表示环境搭建成功

由于这里是没有回显的,因此可以使用 Blind XXE 来读取文件进行攻击:

DTD 文件构造如下:

在 JavaMelody 的默认配置下,直接发包就可以触发该漏洞。

需要注意的是,构造回显通道时,如果是低版本的 jdk ,可以直接使用 gopher 协议回传。如果是高版本 jdk ,则不支持 gopher 协议,那么可以使用 FTP 回显技巧来读取多行文件。

0x02 漏洞细节

我们先来看一下官方的补丁代码:https://github.com/javamelody/javamelody/commit/ef111822562d0b9365bd3e671a75b65bd0613353

可以看到,官方在net/bull/javamelody/PayloadNameRequestWrapper.java中新增了对XMLInputFactory配置的代码,禁用了外部实体解析和dtd实体解析。因此,很容易判断出这里是一个XXE漏洞。 
为什么这个漏洞随意发包即可触发漏洞呢?这和JavaMelody启动过程有关。在触发该漏洞后,我们在PayloadNameRequestWrapper中下断点: 

通过调用历史信息可以发现,请求进入了一个MonitoringFilter拦截器中。 
Springboot中肯定是没有配置这个filter的,查看jar包发现,该拦截器是通过web-fragment.xml进行的配置: 

在配置项中我们可以发现这个filter默认是处理所有请求:

因此,外部请求会进入MonitoringFilter的doFilter方法,之后调用了createRequestWrapper方法:

然后来到了PayloadNameRequestWrapper-> initialize方法中:

在处理soap相关的content-type时,只关注application/soap+xml,text/xml。如果发现content-type类型满足if条件,则调用parseSoapMethodName方法执行解析,继续跟进该方法:

在该方法中直接调用了XMLStreamReader对 XML 进行了解析,并没有对外部实体解析以及dtd解析进行限制,因此出现了XXE漏洞。 

0x03 漏洞修复

该漏洞修复比较简单,直接更新JavaMelody至1.74.0即可,或者自己写拦截器来处理恶意请求。

当然,值得注意的是,如果泄漏了/monitoring路由,其实本身就是一个很严重的信息泄露漏洞。因为JavaMelody提供了非常丰富的功能,比如执行gc,杀掉线程,查看SQL请求,查看系统信息、进程,查看数据库schema信息等。 

因此,如果在生产环境部署使用了JavaMelody,那就需要自行配置基础认证或者编写代码来限制其访问权限。 

0x04 参考

[1]https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-15531 
[2]https://github.com/javamelody/javamelody/commit/ef111822562d0b9365bd3e671a75b65bd0613353 

shu010
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站信息什么都没有给出,首先判断靶场搭建的ip【实在判断不出来可以nmap扫一下,找到开放80端口的ip】 得到ip后,可以使用burpsuite进行目录爬取,得到sitemap后就可以对相应可疑站点进行测试,由于该靶场为xxe漏洞靶场,找到对应的登录页面抓包进行构造payload进行测试,其中具体构造payload并找到对应flag见pdf所示。 资源使用人群:前后端有一定了解,具备一些安全方面知识,但不多,保姆级教程,只要你想学就能学会。 工具:忍者渗透测试系统【burpsuite,nmap,base32解密,php在线运行环境,base64解密,cmd5在线平台】
网络安全-常见面试题(Web、渗透测试、密码学、Linux等)
热门推荐
关注网络安全、云原生安全
09-21 2万+
目录 WEB安全 OWASP Top 10(2017) Injection - 注入攻击 Broken Authentication-失效的身份认证 Sensitive Data Exposure-敏感数据泄露 XXE-XML外部实体 Broken Access Control-无效的访问控制 Security Misconfiguration-安全配置错误 XSS-跨站脚本攻击 Insecure Deserialization-不安全的反序列化 Using Components w.
java内存漏洞_JavaMelody组件XXE漏洞(CVE-2018-15531)漏洞分析报告
weixin_29793473的博客
02-25 748
0x001 背景JavaMelody是一款运行在Java Web容器中,用来监控Java内存和服务器CPU使用情况的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。该组件低版本存在一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。0x002 实验环境首先需要安装JavaMelody组件,这里我们选择使用的JavaMelo...
tomcat监控---JavaMelody
qq_41656046的博客
06-14 691
系统信息以及关于 http 错误、日志中的警告和错误、数据缓存(如果使用EHCache )以及批处理作业(如果我们使用Quartz )的统计信息。
XXE外部实体注入漏洞的测试和修复——Java
逆水行舟
07-27 5237
测试过程: 代码检测时发现存在XXE问题,可通过自行改造的xml内容,请求存在XXE问题的接口,测试该漏洞。 比如使用如下xml,通过读取document中 testText这个Element,即可获取到test.json中的文件内容: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE entity [ <!ENTITY file SYSTEM "file:///C:/Users/xxx/Desktop/test.json".
JavaMelody组件XXE漏洞(CVE-2018-15531)漏洞分析报告
dbhri9673的博客
07-28 769
0x001 背景 JavaMelody是一款运行在Java Web容器中,用来监控Java内存和服务器CPU使用情况的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。 该组件低版本存在一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。 0x002 实验环境 首先需要安装JavaMe...
5、XXE漏洞pdf资料
最新发布
10-15
5、XXE漏洞
105-web漏洞挖掘之XXE漏洞1
08-03
1. 示例中是一般实体引用(即“&[name] 2. 示例中若使用FILE等其他协议,不一定是发起网络请求(源代码中定义的方法名 3. 不同的编程语言和XML解
刚开始学XXE漏洞,可以看看这个博客.md
05-05
刚开始学XXE漏洞的时候,很懵,看见了这个博客,就转载一下,希望对刚接触这个东西的同学有帮助,刚学的时候浪费了很多时间,希望别人可以少浪费这个找资源的时间
WebGoat8-xxe注入漏洞分析
09-15
WebGoat8-xxe注入漏洞分析
java最新漏洞_JavaMelody XXE漏洞(CVE-2018-15531)分析
weixin_30629043的博客
02-25 1587
0x01 背景JavaMelody是一款在生产和QA环境中对JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。近日发布了1.74.0版本,修复了一个XXE漏洞漏洞编号CVE-2018-15531。攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。0x02 漏洞分析漏洞修复的com...
敏感信息泄露总结
goddemon
03-15 1万+
一.源代码泄露 二.服务器导致的泄露 Apache类泄露 样例文件泄露 /examples/servlets/servlet/CookieExample /examples/servlets/servlet/RequestHeadersExample /examples/jsp/snp/snoop.jsp /examples/async/async1 cookie泄露 IIS泄露 典型iis短文件名 https://github.com/lijiejie/IIS_shortname_Scanner To
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2045
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
java 漏洞挖掘_Java XXE漏洞典型场景分析
weixin_36415835的博客
02-16 947
本文首发于oppo安全应急响应中心:0x01 前言:XML 的解析过程中若存在外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI 的数据。这一行为将导致XML External Entity (XXE) 攻击,从而用于拒绝服务攻击,任意文件读取,扫内网扫描。以前对xxe的认识多停留在php中,从代码层面而言,其形成原因及防护措施较为单一,而java中依赖于其丰富的库,导致解...
XXE漏洞 解决方案(JAVA版本)
goldDaNiu的博客
07-05 9281
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
Java XML XXE 底层防御
沧海一粟
12-07 6524
JavaXML相关API 是由JAXP定义了相关的XML的通用接口,常见包括DOM/SAX/STAX/XPATH 的标准API Javax.xml.parsers  -> DOM/SAX Javax.xml.stream   -> STAX Javax.xml.xpath    -> XPATH Javax.xml.bind     -> JAXB javax.xml.ws
XXE漏洞详解(XML外部实体注入)
谢公子的博客
01-12 1万+
目录 XXE XXE漏洞演示利用 Blind OOB XXE 场景1 – 端口扫描 场景2 – 通过DTD窃取文件 场景3 – 远程代码执行 XXE漏洞的挖掘 XXE的防御 在学习XXE漏洞之前,我们先了解下XML。传送门——>XML和JSON数据格式 那么什么是XXE漏洞呢? XXE XXE(XML ExternalEntity Injection)也就是XML...
微信支付 Java SDK XXE 漏洞原因
04-04
微信支付 Java SDK XXE 漏洞的原因是由于微信支付 Java SDK中使用了不安全的XML解析器,攻击者可以通过构造恶意XML文件来触发XXE漏洞,导致敏感信息泄露、服务器被攻击等安全问题。具体来说,攻击者可以通过在XML文件中插入恶意实体,从而读取任意文件、执行任意命令等攻击行为。这个漏洞的存在,可能会导致微信支付平台的重大安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值