863 views

Tomcat下基于Listener的内存Webshell分析

前言 在浏览《JSP Webshell那些事 — 攻击篇(下)》时里面提到了一种不常见的内存马构造方式,一般来说Tomcat下的内存马都是基于StandardContext来构建的,并且文中提到了web.xml对于这三种组件的加载顺序是:listener -> filter -> servlet,也就是说listener的优先级为三者中最高的。笔者也是第一次见到这种内存马,并且作者提到了该内存马的构造方式更为简单,因此本着研究的态度来分析下该内存马的构造流程。 Listener监听器介绍 监听器Listener就是在application,session,request三个对象创 […]

974 views

WPDiscuz插件 – RCE漏洞分析

1 前言 Wordfence的威胁情报团队在一款名叫wpDiscuz的Wordpress评论插件中发现了一个高危漏洞,而这款插件目前已有超过80000个网站在使用了。这个漏洞将允许未经认证的攻击者在目标站点中上传任意文件,其中也包括PHP文件,该漏洞甚至还允许攻击者在目标站点的服务器中实现远程代码执行。 以下为该漏洞的漏洞描述,由于存在前台无限制文件上传漏洞,攻击者在无需任何权限的情况下可以直接接管服务器。

2 漏洞分析 这里测试环境为Wordpress v5.5 ,使用漏洞插件的版本为 wpdiscuz-7.0.3,这里直接将 […]

1,268 views

Weblogic cve-2020-14644 反序列化分析

1 前言 这个漏洞整体来说还算比较简单的,在构造上也几乎没有任何难处,利用上来说是一个标准的反序列化漏洞,需要配合T3协议默认开启才能进行攻击,因此条件上还是有限制的。 这里膜kk师傅,附上参考文章:https://paper.seebug.org/1281/ 2 简单分析 出现漏洞的代码位于com.tangosol.internal.util.invoke.RemoteConstructor的第126行

这里跟进newInstance函数

跟进realize函数 […]

1,563 views

Apache Kylin历史漏洞分析

1 前言 这里对Apache Kylin出现的两次漏洞进行下分析,本身漏洞也不难,而且前置条件需要用户登录,不过由于docker下的环境会存在一个默认账户(admin/KYLIN),所以这个登录条件的限制也不是那么的严格。在实际场景中如果能够遇到Kylin,配合上默认账户所以还是存在很大的安全隐患。 简单说下如何用docker部署Kylin,这里我部署的3.0.1版本,其中CVE-2020-1956影响的最高版本为3.0.1,CVE-2020-13925影响的最高版本为3.0.2

[crayon-5f6c2d58e1dcd703 […]

1,808 views

Weblogic cve-2020-14645 JNDI注入分析

1 前言 近日,Oracle官方发布安全更新,在此前的CVE-2020-2883 将 extract 方法存在危险操作的 MvelExtractor 和 ReflectionExtractor 两个类加入到了黑名单中,因此我们只需要继续找一个 extract 方法存在危险操作的类即可绕过补丁,这里找到的是 Weblogic 12.2.1.4.0 Coherence 组件特有的类 com.tangosol.util.extractor.UniversalExtractor,因此只能影响 Weblogic 12.2.1.4.x。 漏洞影响范围: Oracle WebLogic Server 12. […]

1,773 views

Linux下文件描述符回显构造

1 前言 前面讲了如果通过工具来半自动化挖掘中间件的回显构造方法,那么本篇在适用性上远比前文小,文件描述符只存在于Linux环境下,甚至在Mac环境下都不能调试,因此其局限性还是非常大的,另外在实际环境中如果遇到反代这种大型网络环境,通过这种方法来获取回显也会打上一个大大的问号,所以本文还是保持研究的态度来对这种回显方法一探究竟。 2 实践 在实践前,我们先通过人为模拟来寻找我们所能操控的文件描述符编号 还是熟悉的一个反序列化的应用案例,这里debug后我们来到服务器查看相对应的文件描述信息 这里对照第五行发现其中的ip地址经过了十六位进制转化,服务器的ip地址为192.168.59.148, […]

1,817 views

Tomcat下半自动化挖掘回显构造方法

1 前言 本文并没有什么新的姿势点,主要是在seebug上偶然看到c0ny1 师傅的一篇《半自动化挖掘 request 实现多种中间件回显》,该文提出了一种半自动化挖掘中间件回显的方法,并且也给出了相应的使用方法,网上也没有找到相应的说明说明,于是本着研究的心态开始使用这款工具,看看是否能够达到自动化构造回显的目的。 2 工具介绍 工具地址: https://github.com/c0ny1/java-object-searcher 在上述提到的文中以Tomcat 7.0.94为例进行了挖掘,那么本文以Tomcat 9.0.30为例进行回显构造,下面是工具的使用方法 以搜索request对象为 […]

4,803 views

ysoserial – Clojure分析

0x00 前言 最近一直在研究Java安全,从ysoserial看起,发现Clojure这个Gadget链网上并没有分析文章,所以对这条攻击链进行了简单的分析,动态调试过程中由于计算器一直在弹,所以顺着动态分析的内容静态跟了许久,最后总算把这条攻击链给理顺了。 简单介绍Clojure这个jar包,Clojure是一种运行在Java平台上的 Lisp 方言,Lisp是一种以表达性和功能强大著称的编程语言,但人们通常认为它不太适合应用于一般情况,而Clojure的出现彻底改变了这一现状。如今,在任何具备 Java 虚拟机的地方,您都可以利用 Lisp 的强大功能。通俗点来讲Clojure这个库其实 […]