1,439 views

ECShop 4.0 前台SQL注入漏洞分析(需用户注册)

#00 前言 前两天看到有公众号发了ECShop的注入分析漏洞,所以想看下与笔者挖的是否重复,看完还是非常佩服作者的分析水平,基于Nday然后对整个利用链进行回溯分析,从而发现0day,对代码审计人员帮助颇多,不过这个漏洞需要用户注册,严格意义上来讲需要进行用户认证,因此危害性还不至于那么广泛。 漏洞分析出处:Ecshop 4.0 SQL(代码审计从Nday到0day ) #01 漏洞分析 整个漏洞利用链是基于两年前广泛流传的ECShop RCE漏洞链来的,笔者在挖掘ECShop的漏洞时也曾经在互联网上搜索过ECShop的历史漏洞,基本上都是由insert_mod引起的,这次漏洞也不例外,但是 […]

2,388 views

Tomcat下基于Listener的内存Webshell分析

前言 在浏览《JSP Webshell那些事 — 攻击篇(下)》时里面提到了一种不常见的内存马构造方式,一般来说Tomcat下的内存马都是基于StandardContext来构建的,并且文中提到了web.xml对于这三种组件的加载顺序是:listener -> filter -> servlet,也就是说listener的优先级为三者中最高的。笔者也是第一次见到这种内存马,并且作者提到了该内存马的构造方式更为简单,因此本着研究的态度来分析下该内存马的构造流程。 Listener监听器介绍 监听器Listener就是在application,session,request三个对象创 […]

2,449 views

WPDiscuz插件 – RCE漏洞分析

1 前言 Wordfence的威胁情报团队在一款名叫wpDiscuz的Wordpress评论插件中发现了一个高危漏洞,而这款插件目前已有超过80000个网站在使用了。这个漏洞将允许未经认证的攻击者在目标站点中上传任意文件,其中也包括PHP文件,该漏洞甚至还允许攻击者在目标站点的服务器中实现远程代码执行。 以下为该漏洞的漏洞描述,由于存在前台无限制文件上传漏洞,攻击者在无需任何权限的情况下可以直接接管服务器。

2 漏洞分析 这里测试环境为Wordpress v5.5 ,使用漏洞插件的版本为 wpdiscuz-7.0.3,这里直接将 […]

2,771 views

Weblogic cve-2020-14644 反序列化分析

1 前言 这个漏洞整体来说还算比较简单的,在构造上也几乎没有任何难处,利用上来说是一个标准的反序列化漏洞,需要配合T3协议默认开启才能进行攻击,因此条件上还是有限制的。 这里膜kk师傅,附上参考文章:https://paper.seebug.org/1281/ 2 简单分析 出现漏洞的代码位于com.tangosol.internal.util.invoke.RemoteConstructor的第126行

这里跟进newInstance函数

跟进realize函数 […]

3,015 views

Apache Kylin历史漏洞分析

1 前言 这里对Apache Kylin出现的两次漏洞进行下分析,本身漏洞也不难,而且前置条件需要用户登录,不过由于docker下的环境会存在一个默认账户(admin/KYLIN),所以这个登录条件的限制也不是那么的严格。在实际场景中如果能够遇到Kylin,配合上默认账户所以还是存在很大的安全隐患。 简单说下如何用docker部署Kylin,这里我部署的3.0.1版本,其中CVE-2020-1956影响的最高版本为3.0.1,CVE-2020-13925影响的最高版本为3.0.2

[crayon-5fbca4698b01f479 […]

3,269 views

Weblogic cve-2020-14645 JNDI注入分析

1 前言 近日,Oracle官方发布安全更新,在此前的CVE-2020-2883 将 extract 方法存在危险操作的 MvelExtractor 和 ReflectionExtractor 两个类加入到了黑名单中,因此我们只需要继续找一个 extract 方法存在危险操作的类即可绕过补丁,这里找到的是 Weblogic 12.2.1.4.0 Coherence 组件特有的类 com.tangosol.util.extractor.UniversalExtractor,因此只能影响 Weblogic 12.2.1.4.x。 漏洞影响范围: Oracle WebLogic Server 12. […]

3,206 views

Linux下文件描述符回显构造

1 前言 前面讲了如果通过工具来半自动化挖掘中间件的回显构造方法,那么本篇在适用性上远比前文小,文件描述符只存在于Linux环境下,甚至在Mac环境下都不能调试,因此其局限性还是非常大的,另外在实际环境中如果遇到反代这种大型网络环境,通过这种方法来获取回显也会打上一个大大的问号,所以本文还是保持研究的态度来对这种回显方法一探究竟。 2 实践 在实践前,我们先通过人为模拟来寻找我们所能操控的文件描述符编号 还是熟悉的一个反序列化的应用案例,这里debug后我们来到服务器查看相对应的文件描述信息 这里对照第五行发现其中的ip地址经过了十六位进制转化,服务器的ip地址为192.168.59.148, […]

3,217 views

Tomcat下半自动化挖掘回显构造方法

1 前言 本文并没有什么新的姿势点,主要是在seebug上偶然看到c0ny1 师傅的一篇《半自动化挖掘 request 实现多种中间件回显》,该文提出了一种半自动化挖掘中间件回显的方法,并且也给出了相应的使用方法,网上也没有找到相应的说明说明,于是本着研究的心态开始使用这款工具,看看是否能够达到自动化构造回显的目的。 2 工具介绍 工具地址: https://github.com/c0ny1/java-object-searcher 在上述提到的文中以Tomcat 7.0.94为例进行了挖掘,那么本文以Tomcat 9.0.30为例进行回显构造,下面是工具的使用方法 以搜索request对象为 […]