freemarker语法_CVE20207799:FreeMarker模板FusionAuth RCE复现

最新推荐文章于 2024-08-25 23:26:52 发布
最新推荐文章于 2024-08-25 23:26:52 发布
阅读量314 收藏
点赞数
文章标签: freemarker语法
本文详述了FusionAuth身份管理平台的一个安全漏洞,该漏洞允许具有修改email或theme模板权限的用户通过Apache FreeMarker engine执行任意命令。影响版本为FusionAuth <= 1.11.0。利用过程包括设置环境、复现漏洞以及展示如何通过修改email模板触发命令执行。修复方案是升级到1.11.0及以上版本。
摘要由CSDN通过智能技术生成
点击上方蓝色字体关注我们,一起学安全! 本文作者:? (团队复现组成员) 本文字数:718 阅读时长:2~3min 声明:请勿用作违法用途,否则后果自负 0x01 简介 FusionAuth是一个免费的身份管理平台,安装简单,易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。 0x02 漏洞概述 一个有修改 email 或者 theme 模板权限的用户可以通过使用 Apache FreeMarker engine 里的 freemarker.template.utility.Execute 来执行任意命令。

因为使用了Apache FreeMarker engine(freemarker-2.3.28.jar), 所以可以使用 freemarker 的语法, 类似 ${XXX? Built-ins} 而 new 这个 Built-ins 会 创建一个特定 TemplateModel 的 变量。

要求?左边是TemplateModel,也就是 freemarker.template.utility.Execute, 而右边就是 initialize 这个 object 时的参数。

0x03 影响版本 FusionAuth <= 1.11.0 0x04 环境搭建

下载 FusionAuth 1.10.0(本次使用 FusionAuth 1.10.0 进行测试)

https://storage.googleapis.com/inversoft_products_j098230498/products/fusionauth/1.10.0/fusionauth-app-1.10.0.zip

  1. 将文件解压之后随便放一个位置

  2. 启动 MySQL /etc/init.d/mysql start

  3. 启动 ElasticSearch systemctl start elasticsearch.service

  4. 启动 FusionAuth bin/startup.sh

    fe8df98739635a65b4c5ab6f80d55d15.png

  5. 打开网址http://127.0.0.1:9011/配置 FusionAuth

    1. 先配置数据库

      8fda30971672dd32ab3e340788b2d777.png

    2. 配置 Elastic Search

      0c678414f8d452fcf8708c43d995fb9c.png

    3. 创建好用户之后就可以登录了

      79aa8cdb1775aabc7bcf411ba3f1ce43.png7b9f8c2b36cb76219813438f1c0457c0.png

0x05 漏洞复现 本次使用 email template 进行测试

  1. 进入 setting -> email template

    4893c1bb4c4f5642a02ed6e3d6bf9ec2.png

  2. 随便点一个 template 的 edit

    7b78aff363d5af1281e88c99a2e6b14e.png

  3. 开启 Burp Suit 抓包, 配置好 proxy

    78a21c654dfd7bac94a4a22a7c7a8454.png

  4. 点击 Preview, 然后去 Burp Suit 看抓包

    19e3dbaf1c241bd499790db512d301f2.pngb0256421f4892aed55f17fe19c83ade8.png

  5. 修改

    emailTemplate.defaultHtmlTemplate

    ${"freemarker.template.utility.Execute"?new()("whoami")}

  6. forward 之后看结果

    5830956bab63f4e6f2e90a473f09c2ae.png

0x06 修复方式 值得一提的是 freemarker 2.3.19 的 changelog 里显示,如果用户开启了 TemplateClassResolver.SAFER_RESOLVER 的话, 可以防止创建 freemarker.template.utility.Execute. 然而目前这并不是默认配置。 FusionAuth Version 1.11.0 的 release Note 里说是修改了 freemarker template engine, 使其不能执行恶意代码. 所以修复方式就是升级到1.11.0 及以后的版本。

参考链接:

https://www.anquanke.com/post/id/198036

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7799 30726468d3d3c86e1a394b36c7f14dd1.png 266d0894225ab4b441dcf5ebbe17b559.png 阅读原文看更多复现文章Timeline Sec 团队安全路上,与你并肩前行
weixin_39983384
关注
Atlassian Confluence RCE漏洞复现(CVE-2023-22527)
0xSec
01-23 2165
Atlassian Confluence/template/aui/text-inline.vm接口处存在velocity模板注入,未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行,可导致服务器失陷
【漏洞复现】Struts2 S2-062 (CVE-2021-31805) 远程代码执行漏洞
做自己喜欢的事,并将其发挥到极致!
04-15 3467
文章目录声明前言一、漏洞描述二、漏洞原理三、影响版本四、安全版本五、漏洞细节分析六、本地复现七、漏洞修复 声明 本篇文章仅用于技术研究和漏洞复现,切勿从事非法渗透,造成任何影响与本作者无关,切记! 前言 Apache 官方发布了 Apache Struts2 的风险通告,漏洞编号为 CVE-2021-31805,可能会导致远程代码执行。 一、漏洞描述 此次 Apache Struts2 漏洞为 CVE-2020-17530 ( S2-061 )的修复不完整,导致输入验证不正确。 如果开发人员使用%{…}
Java安全之freemaker模版注入
AS011x的博客
09-19 1840
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。在线手册:什么是 FreeMarker?- FreeMarker 中文官方参考手册模板文件存放在Web服务器上,当访问指定模版文件时, FreeMarker会动态转换模板,用最新的数据内容替换模板中${...}的部分,然后返回渲染结果。${...}: FreeMarker将会输出真实的值来替换大括号内的表达式,这样的表达式被称为(插值)
Freemarker模板注入:CVE-2020-7477
守拙的博客
08-04 2402
一、漏洞名称: FusionAuth存在Freemarker模板注入导致远程命令执行 二、漏洞编号: CVE-2020-7477 三、漏洞描述: 在FusionAuth 1.11.0之前版本存在注入漏洞,经过身份验证的用户被允许编辑电子邮件模板或主题, 远程攻击者可利用该漏洞调用在系统上执行任意命令。 四、影响版本: FusionAuth <= 1.11.0 五、漏洞分析 通过对直接编辑freemarker模板,调用freemarker.template.utility.E
freemarker模版注入
最新发布
l_l_c_q的博客
08-25 982
freemarker模版注入
freemarker 使用数据字典_CVE-2020-7799:FreeMarker模板FusionAuth RCE复现
weixin_39781945的博客
11-19 302
0x01 简介FusionAuth是一个免费的身份管理平台,安装简单,易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。0x02 漏洞概述一个有修改 email 或者 theme 模板权限的用户可以通过使用 Apache FreeMarker engine 里的 freemarker.template.util...
[CVE-2020-7799] Apache FreeMarker模板FusionAuth远程代码执行
公众号shadow sock7
02-05 1635
安装的时候一直出现这样的错误, 而且每次响应都很快,感觉可能并不是账号密码出了问题,然后查看日志发现可能是驱动没加载正确: 后来通过调试, 搞了半天确实是没有加载到mysql驱动: 然而我把mysql驱动jar包放到 fusionauth-app-1.10.0/fusionauth-app/apache-tomcat/lib/ 目录下,发现无法打开zip包: 参考 https://fus...
Freemarker代码
bring_coco的博客
08-29 126
中文文档payload构造:正常使用方法:https://blog.csdn.net/zenyangqiming/article/details/108415063。
struts2 CVE-2020-17530漏洞复现
Armandhe的博客
06-08 934
我丝毫不敢休息,又肝了一篇
[ vulhub漏洞复现篇 ] Struts2 远程命令执行漏洞(CVE-2020-17530)(S2-061)
qq_51577576的博客
08-22 708
Apache Struts2框架是一个用于开发Java EE网络应用程序的Web框架。Apache Struts于2020年12月08日披露 S2-061 Struts 远程代码执行漏洞(CVE-2020-17530),在使用某些tag等情况下可能存在OGNL表达式注入漏洞,从而造成远程代码执行,风险极大。
Struts2-S2-061远程命令执行(CVE-2020-17530)漏洞复现
qq_57172130的博客
05-03 724
目录 框架介绍 漏洞原理 影响版本 环境搭建 漏洞探测 漏洞利用 防御措施 框架介绍 Apache Struts 2最初被称为WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。Struts 2是Struts 1的一个升级版,但是它和Struts 1来相比,提供了太多的增强和改进,怎么运行的呢,就是实现了Servlet的功能,来进行控制页面跳转。同时这也是基于MVC设计模式的Web应用框架,Struts 2的控制功能就相当于MVC中的Controll
CVE-2020-16898: Windows TCP/IP远程执行代码漏洞通告
爱国小白帽
10-14 6712
原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-101402 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-14 0x01 漏洞简述 2020年10月14日,360CERT监测发现 Microsoft 发布了 TCP/IP远程代码执行漏洞 的风险通告,该漏洞编号为CVE-2020-16875,漏洞等级:严重,漏洞评分:9.8。 远程攻击者通过构造特制的ICMPv6 Router Advertisemen
FreeMarker执行系统命令
weixin_33967071的博客
11-16 823
1、寻找可以上传FTL模板的漏洞点 2、尝试注入FTL模板 1 2 <#assigntest="freemarker.template.utility.Execute"?new()> ${test("id")} 3、查找上传的FTL文件保存路径 1 2 <#assigntest="freem...
从ofcms的模板注入漏洞(CVE-2019-9614)浅析SSTI漏洞
Alexz__的博客
05-04 1965
什么是SSTI漏洞 CVE-2019-9614漏洞复现 ofcms的freemarker模板源码简要分析 壹 什么是SSTI漏洞 SSTI:Server Side Template Injection 服务器端模板注入漏洞 既然是注入漏洞,那么它所运用的核心思想就和XSSSQL注入差不多,都是运用不安全的用户输入,将正常的数据接收处进行恶意输入,导致服务器将用户输入数据当成代码并执行,从而完成一些危险的行为 我们针对SSTI来看,他的主要载体是web站点MVC架构之上,也就是从...
【代码审计】模板注入
TeamsSix 的 CSDN 空间
12-03 1070
0x00 介绍 这里主要学习下 FreeMarker 模板注入,FreeMarker 是一款模板引擎,FreeMarker 模板文件与 HTML 一样都是静态页面,当用户访问页面时,FreeMarker 引擎会进行解析并动态替换模板中的内容进行渲染,然后将渲染后的结果返回到浏览器中。 0x01 FreeMarker 模板 FreeMarker 模板语言(FreeMarker Template Language,FTL)由 4 个部分组成,分别如下: 文本:包括 HTML 标签与静态文本等静态内容,该部分
【SpringBoot 采坑记】- FreeMarker
Mr小墨的博客
06-11 1046
SprigBoot FreeMarker Email
FreeMarker入门到简要分析模版注入
weixin_65550121的博客
06-26 943
FreeMarker 是一款模板引擎: 即一种基于模板和要改变的数据, 并用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)的通用工具。它不是面向最终用户的,而是一个Java类库,是一款程序员可以嵌入他们所开发产品的组件。模板编写为FreeMarker Template Language (FTL)。它是简单的,专用的语言,不是像PHP那样成熟的编程语言。那就意味着要准备数据在真实编程语言中来显示,比如数据库查询和业务运算, 之后模板显示已经准备好的数据。
FreeMarker模板语言解析:基础语法与指令详解
FreeMarker是一个强大的、轻量级的模板引擎,广泛应用于Java Web开发中,特别是与MVC框架如Struts2配合使用。它允许开发者将业务逻辑与视图层分离,通过模板文件来动态生成HTML或其他类型的输出。 FreeMarker模板...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值