【安全漏洞】Emissary 的SSRF漏洞(CVE-2021-32639)发现过程

最新推荐文章于 2025-11-14 09:05:58 发布
原创 最新推荐文章于 2025-11-14 09:05:58 发布 · 791 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #java #网络安全

本文详细介绍了在Emissary项目中发现的安全漏洞,特别是服务器端请求伪造(SSRF)漏洞(CVE-2021-32639)。通过CodeQL查询,不仅揭示了SSRF漏洞,还发现了代码注入、任意文件泄露和不安全的反序列化问题。此外,讨论了如何利用SSRF漏洞进行身份验证凭证的潜在泄露,并分享了安全研究过程。

导语:通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093)。
通过在Emissary项目上运行标准的CodeQL查询集,我发现了之前报告的任意文件泄露(CVE-2021-32093),但也发现了新的漏洞:

不安全的反序列化漏洞 (CVE-2021-32634);

服务器端请求伪造漏洞(CVE-2021-32639);

原始代码注入CVE (CVE-2021-32096)是由社区贡献的CodeQL查询标记的;

到目前为止,还可以通过默认的CodeQL查询发现反映的跨站点脚本漏洞(CVE-2021-32092)。

代码注入 (CVE-2021-32096)

起初我尝试在Emissary 5.9.0代码库上使用CodeQL脚本注入查询时,却没有得到任何结果。

在阅读源代码获取漏洞细节后,我确信我的查询正确地建模了javax.script.ScriptEngine.eval()接收,并且该源代码已经由默认的CodeQL JAX-RS库建模。然而,我意识到从不受信任的数据到脚本注入接收器的流不是“直接的”流。你可以通过查看代码流的方式来理解其原因。

用户数据进入应用程序的 JAX-RS 终端是:
在这里插入图片描述
getOrCreateConsole(request) 将调用 RubyConsole.getConsole() ,它会转到:
在这里插入图片描述
此代码启动一个运行 RubyConsole.run() 方法的新线程(因为它实现了 Java Runnable 接口):
在这里插入图片描述
但是,由于此时 stringToEval 为 null,因此该方法几乎会立即使用 wait() 方法暂停线程。

稍后,在 rubyConsolePost 中,我们可以找到以下代码:
在这里插入图片描述
这里是不受信任数据(request.getParameter(CONSOLE_COMMAND_STRING))进入应用程序并流入RubyConsole.evalAndWait()方法的地方。但是,evalAndWait()方法是:

最低0.47元/天 解锁文章
内网渗透(七十九)CVE-2021-42287 权限提升漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-20 1053
这个漏洞的产生核心的原因是KDC在处理UserName字段时的问题,而后结合两种攻击链针对域内和跨域进行攻击。当针对域内攻击时,结合了CVE-2021-42278漏洞来修改机器⽤户的saMAccountName属性,让KDC找不到⽤户,⾛进处理UserName的逻辑。然后再利⽤KDC在处理S4U2Self时的逻辑问题(不校验发起S4U2Self请求的⽤户是否具有权限发起S4U2Self请求)以及重新⽣成PAC的这⼀特性来进⾏攻击。当针对跨域攻击时,其实意义不⼤。
网络安全CVE 漏洞分析以及复现
heikeyouyou的博客
05-22 1429
记一次CVE 漏洞分析以及复现
超强的渗透测试常用软件和命令分享(含代理|扫描|爬虫|注入等),网络安全零基础入门到精通教程建议收藏!
白帽阿叁的博客
11-21 1186
它具有功能强大的检测引擎,针对各种不同类型数据库的渗透测试的功能选项,包括获取数据库中存储的数据,访问操作系统文件甚至可以通过带外数据连接的方式执行操作系统命令。要注意的是,这里是 round bin 算法,前 3 个一定发往 server1,后面 7 个一定发往 server2,然后继续循环,不是每个请求都是基于权重随机的。注:也是最重要的一步!爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意。
mongodb、tomcat、activemq漏洞修复
weixin_45552215的博客
04-17 1987
将后边的--bind_ip_all --auth修改成--bind_ip 127.0.0.1。Mongodb Server 输入验证错误漏洞(CVE-2021-20330);MongoDB Server 日志条目错误漏洞(CVE-2021-20333);Mongodb Server 输入验证错误漏洞(CVE-2021-20330);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928);Mongodb Server 缓冲区错误漏洞(CVE-2020-7928)
Fortinet FortiWeb SQL注入漏洞CVE-2025-25257):深度技术剖析、全球态势与前瞻防护
最新发布
从零开始,掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。
11-14 657
摘要: CVE-2025-25257是Fortinet FortiWeb WAF中存在的极高风险SQL注入漏洞(CVSS 9.6),允许未认证攻击者通过构造恶意HTTP请求实现远程代码执行,完全接管设备。漏洞源于编码层SQL拼接、架构层权限分离缺失及开发流程缺陷,攻击链技术门槛低且野外利用已活跃,主要威胁金融、政府等关键行业。Fortinet通过参数化查询等修复方案彻底解决漏洞,建议用户立即升级至安全版本(如7.6.4+),临时缓解措施包括禁用API接口或部署WAF规则。该漏洞暴露了安全产品自身的安全隐患,
CVE-2021-21402-Jellyfin:jiaocollCVE-2021-21402-果冻
04-09
CVE-2021-21402-Jellyfin-任意文件读取 此POC仅用于学习交流,由此产生的一切后果本人不承担
jellyfin任意文件读取漏洞CVE-2021-21402
课嗨教育的专栏
04-22 1687
简介: Jellyfin 是一个免费软件媒体系统。在 10.7.1 版之前的 Jellyfin 中,带有某些终结点的精心设计的请求将允许从 Jellyfin 服务器的文件系统中读取任意文件。当 Windows 用作主机 OS 时,此问题更加普遍。暴露于公共 Internet 的服务器可能会受到威胁。在版本 10.7.1 中已修复此问题。解决方法是,用户可以通过在文件系统上实施严格的安全权限来限制某些 访问,但是建议尽快进行更新。 影响版本: Jellyfin<10.7.1 复现..
ssrf 漏洞
安全界的彭于晏的博客
07-05 376
SSRF 原理(服务器请求伪造) 中间人攻击 是一种由web服务器发出请求的漏洞,它能够请求到与 它相连的内网资源(与外网隔离的内部系统).因此SSRF 主要测试目标是企业的内网系统。 很多web应用提供从其他服务器获取数据的功能,可以根据 用户提交URL访问对应资源(获取图片,下载文件,读取内容) 如果该功能作为代理通道去访问本地或远程服务器,这就是所谓 的SSRFSSRF的强大和成功几率由函数本身功能决定 即代码中是什么函数其功能有多强大,那么存在SSRF漏洞的话, 漏洞利用的概
微软最新漏洞CVE-2021-42287
weixin_43888456的博客
12-18 879
微软最新暴出的漏洞CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,已复现[em]e182[/em] 在 AD 域中请求ST票证时,首先需要提供 TGT票据。当 KDC 未找到请求的ST票证时,KDC 会自动再次搜索带有结尾的用户。漏洞原理:如果获得了DC用户的TGT票据且域内有一台名为DC结尾的用户。 漏洞原理:如果获得了 DC 用户的TGT票据且域内有一台名为DC结尾的用户。漏洞原理:如果获得了DC用户的TGT票据且域内有一台名为DC域控,再将DC
Laravel开发-emissary
08-28
在下载的`Emissary-master`压缩包中,可能包含源代码、示例项目、文档等内容,供开发者参考学习和实践。通过研究这些文件,你可以更深入地了解如何在实际项目中利用Emissary与Laravel的结合,提升开发效率和代码质量...
java项目p2p源码-emissary:分布式P2P数据驱动工作流框架
06-05
工作流行程不像在传统工作流引擎中那样预先规划,而是在发现有关数据的更多信息时被发现Emissary 工作流中通常没有用户交互,而是以面向目标的方式处理数据,直到它达到完成状态。 Emissary 是高度可配置的,但在...
最新Chrome-V8-CVE-2021-30599的漏洞
IT枫斗者的博客
01-26 1044
早在chrome一次更新修复该漏洞后就关注到了这个漏洞,不过当时是一个研究者一次提交了两个漏洞,还都是21000美元的高悬赏,我当时只注意到了CVE-2021-30598的两次patch,看到其中一次将typeguard改为checkbound,猜测是可以达到rce的。
CVE-2021-31956 漏洞分析
wulanlin的博客
12-28 853
一、概述 CVE-2021-31956是微软2021年6月份披露的一个内核堆溢出漏洞,攻击者可以利用此漏洞实现本地权限提升,nccgroup的博客已经进行了详细的利用分析,不过并没有贴出exploit的源代码。 本篇文章记录京东信息安全实验室技术人员学习windows exploit的过程,使用的利用技巧和nccgroup提到的大同小异,仅供学习参考。 二、漏洞定位 漏洞定位在windows的NTFS文件系统驱动上(C:\Windows\System32\drivers\ntfs.sys),NTFS
CVE-2021-42013漏洞复现
信安是不可或缺的一部分!
12-22 4299
影响版本 Apache 2.4.49 Apache 2.4.50 靶场搭建 使用docker搭建靶场环境: docker pull vulfocus/apache-cve_2021_42013:latest #拉取靶场 docker run -itd -p 80:80 vulfocus/apache-cve_2021_42013:latest ## 启动靶场环境 访问靶场环境 代码 利用工具进行代码利用 注意反弹shell级需要开启反弹端口 这里可以使用反弹shell命令 http://
微软CVE-2023-28252漏洞
菜鸟学渗透
04-15 2632
微软最新CVE-2023-28252内核提权漏洞
【安全预警】最新SQL注入与RCE漏洞分析:CVE-2025-8494等多个高危漏洞详解
l0_01的博客
08-04 1272
本文深入分析了最新发布的SQL注入和远程代码执行(RCE)漏洞,包括Tesla Wall Connector、Z-Push等多个产品的高危安全漏洞,并提供详细的防护建议。
网络安全】浅谈CVE-2020-15148漏洞
m0_71746299的博客
03-30 562
今天给大家带来的是CVE-2020-15148漏洞的简单分析,整体看下来还是很简单的,我们需要注意如何调用的魔术方法以及如何进行RCE,有兴趣的小伙伴可以自己去搭建环境进行测试,喜欢本文的朋友希望可以一键三连支持一下。
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 5259
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
SSRF绕过域名白名单的一种方式——CVE-2024-24806(影响大量nodejs服务)
ooooooih的博客
04-29 1997
挖SRC也有一段时间了,除了逻辑漏洞就是XSS,感觉没啥提升的样子(叠甲:没有瞧不起逻辑漏洞的意思,我挖得最多的就是逻辑!!),所以最近空闲时间去看了看历史的CVE报告,学习一下大佬们的思路的技巧,前段时间看到一个很有意思的漏洞,分享一下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值