反序列化漏洞分析及复现

最新推荐文章于 2025-02-19 23:00:00 发布
最新推荐文章于 2025-02-19 23:00:00 发布
阅读量1.2k 收藏 6
点赞数 13
CC 4.0 BY-SA版权
文章标签: web安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libao657/article/details/143165246

普元Primeton EOS Platform(以下简称普元EOS)在节前被爆出存在反序列化漏洞。遂在此分析该漏洞成因,如有疏漏或错误,欢迎大佬指正包涵。
普元 EOS 框架分析
1、分析WEB应用的第一步首先看一下,web.xml文件。
在web.xml中我们可以看到其中配置了一个filter,其对应的类为“com.eos.access.http.InterceptorFilter”,拦截了所有的请求。
在这里插入图片描述
2、跟进该拦截器的“doFilter”方法。
可以看到InterceptorFilter创建了一个WebInterceptorChain,并将后续处理委托给了WebInterceptorChain。
在这里插入图片描述
3、跟进createChain方法。
可以看到WebInterceptorChain是通过获取当前请求的“servletPath”。遍历“configs”中的WebInterceptorConfig的对象。调用WebInterceptorConfig对象的“getPattern()”方法获取“Pattern”。将获取到的“Pattern”正则表达式与当前请求的“servletPath”进行正则匹配。匹配成功则从“interceptors”中获取对应的IWebInterceptor对象,添加进Chain中。
在这里插入图片描述
3.1 那么“configs”对象和“interceptors”对象是从哪里来的呢?
“configs”对象和“interceptors”对象有多种来源并且会在应用程序启动时配置完成。
在WebInterceptorManager中我们可以看到WebInterceptorConfig对象部分是通过读取“handler-web.xml”文件生成。
在这里插入图片描述
除此之外“configs”对象和“interceptors”对象还会在“handler-processor.xml”文件中进行配置,并且在RequstProcessors中读取并配置。文章篇幅有限,感兴趣的师傅可以自行分析一下。
在这里插入图片描述
类似的配置文件还有“contribution.eosinf”(下文会用到,这里提一嘴)。

普元 EOS 鉴权
分析完框架之后我们接下来分析一下,普元EOS的鉴权部分代码。
普元EOS的鉴权代码主要位于“UserLoginWebInterceptor”和“UserLoginCheckedFilter”中。这两个“interceptor”分别在“contribution.eosinf”和“handler-web.xml”中进行配置。 跟进UserLoginCheckedFilter的“doIntercept()”方法。首先判断是否处于登录状态,如果处于登录状态则直接放行。如果未登录则判断是否为“白名单”路径,如果是白名单路径则放行。再判断是否为“黑名单“路径,如果为黑名单路径则抛出异常。最后既不在”白名单“也不在”黑名单“也放行。 “UserLoginWebInterceptor”的代码逻辑与“UserLoginCheckedFilter”相似,本文不再重复分析。

在这里插入图片描述
黑白名单中的路径在”user-config.xml“中进行配置。
在这里插入图片描述
普元EOS JMX 反序列化漏洞
接下来到了本文的重点。
根据网上曝光的相关信息可以得知该漏洞的路由方式为”.jmx“,而在”handler-processor.xml“中我们可以看到与”.jmx“相关的配置。
在这里插入图片描述
跟进配置文件中的”JmxServiceProcessor“类,我们可以看到在”JmxServiceProcessor“类的”process()“方法中直接从request中获取了请求体,作为参数生成了ObjectInputStream的对象,并且调用了它的”readObject()“方法,触发了反序列化漏洞。
在这里插入图片描述
复现
利用该漏洞我们只需要向”/default/.jmx“路径,POST 发送payload。因为普元EOS存在”commons-collections“依赖,并且版本处于可利用范围内。因此直接使用CC链即可。
在这里插入图片描述
在这里插入图片描述
CC6变种
在此和大家分享一个CC6的变种。
在ysoserial中CC6是通过反射调用 ”Runtime.getRuntime().exec()“实现命令执行,不能执行复杂的操作。我们可以通过调用JS引擎的方式实现复杂的操作,例如注入内存马等,代码如下。

在这里插入图片描述

EOS Platform远程代码执行漏洞复现(XVE-2023-24691)
0xSec
04-24 2544
EOS Platform 中间件 任意 .jmx或者.download 后缀的接口存在反序列化漏洞,未经身份验证的攻击者可利用此漏洞执行任意代码,反弹shell或者写入后门文件,进一步可获取服务器权限。
反序列化漏洞分析复现工作
kali_Ma的博客
01-08 2864
0x00 概述 GENESIS64软件的多个版本存在反序列化漏洞,影响多个组件,例如: 根据CVE漏洞相关描述,下载对应GENESIS软件版本搭建环境,进行漏洞分析复现工作。 【一>所有资源获取<一】 1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线 0x01 服务分析 安装完成后对整个系统进行熟悉,发现Web程序接口使用Silverl
反序列化漏洞
weixin_45007073的博客
02-03 336
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
JMX 反序列化漏洞
蚁景网安学院
07-18 1128
前段时间看到 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
EOS 反序列化交易,获取交易ID
changliangwl的专栏
09-07 900
var crypto = require('crypto'); var { Serialize ,Api ,JsonRpc} = require('eosjs'); var fetch = require('node-fetch'); var { JsSignatureProvider } = require('eosjs/dist/eosjs-jssig'); var { TextEncoder, TextDecoder } = require('util'); var se...
解密大文件传输平台新版本21种特性
低代码开发,数据,中间件,企业架构原创技术分享
04-05 477
本文主要介绍大文件传输平台及其传输特性,以平台版本升级为切入点,探讨大文件传输平台对多种传输场景的支持及部署管控方面能力的增强。目 录01大文件传输平台‍‍02文件传输平台新版本特性‍‍‍‍‍‍03信创项目案例‍‍04总结01大文件传输平台‍1.1 文件传输面临的挑战随着企业业务拓展,业务量及业务场景的增加,随之增加的不仅仅是数据的体量,复杂部署环境、多场景混合传输需...
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化
2401_84297560的博客
04-28 702
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。并在13行进行了读取序列化内容,之后在14行进行判断是否为vulnerableTaskHolder对象跟进org.dummy.insecure.framework.VulnerableTaskHolder对象之后在59行处执行了exec。参数为.taskAction,所以直接往上跟该变量初始化发现了使用有参构造进行了赋值(因没动态分析,没搞懂t变量怎么赋值)0x03 利用。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5645
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 483
Python编程学习学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
Weblogic 反序列化漏洞深度剖析与复现
最新发布
xinyaoyaotu的博客
02-19 1099
在 Java 编程体系中,序列化是把对象的状态信息转化为一种便于存储或传输的格式的过程。而反序列化则是相反的操作,即将这些存储或传输的信息还原为原始对象。这一机制在对象的持久化存储,如保存对象到文件系统,以及在网络中传递对象等场景中发挥着关键作用,极大地方便了 Java 应用的开发与数据交互。Weblogic 反序列化漏洞犹如一颗隐藏在网络深处的定时炸弹,随时可能引发服务器被攻击、数据泄露等严重后果,给企业和用户带来巨大的损失。
EOS7.5生成入参为数组的WebService接口
试着奔跑的菜鸟的博客
01-31 1273
EOS7.5生成对象数组入参的接口无法使用DataObject[]的替代方案
DI 6.2,DI使用的tomcat7.0.54扫描出安全漏洞,有什么解决方案么?
普元开发者乐园
12-04 1045
DI 6.2,DI使用的tomcat7.0.54扫描出安全漏洞,有什么解决方案么?
反序列化漏洞漏洞复现
来日可期的博客
09-05 4587
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
反序列化漏洞汇总
hackzkaq的博客
12-08 5381
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
通过Interceptor拦截器实现未登录请求拦截
weixin_44976835的博客
01-25 2496
拦截器可以拦截请求,通常用于验证登录,验证权限等。 下面用一个例子来了解一下如何用拦截器进行登录权限验证和拦截。 首先要创建一个LoginController 一个拦截器 LoginInterceptor 先要明确思路,首先要进入一个首页,可以选择进入登录页面和进入功能性页面 那么首先写出登录页面和功能性页面 @RequestMapping("/gologin") public String goLogin(){ return "Login"; } @Req
swagger版本导致的报错
qq_34254090的博客
02-08 384
swagger版本导致的报错 报错 报错信息 java.lang.NullPointerException at com.primeton.eos.eosservice.swagger.EOSServiceSwagger.buildModels(EOSServiceSwagger.java:302) at com.primeton.eos.eosservice.swagger.EOSServiceSwagger.buildModels(EOSServiceSwagger.java:243) at c
PAS安全: CNVD-C-2022-122084 Primeton AppServer管理控制台存在弱口令漏洞的修复方法
py_doc的博客
08-09 611
PAS安全: CNVD-C-2022-122084 Primeton AppServer管理控制台存在弱口令漏洞的修复方法
EOS要暴跌了!360发现EOS含有惊天漏洞,或可导致EOS价值全部归零
05-29 694
最近,币市的行情一片愁云惨淡,连带着笔者的心情也变糟了。行情不好就算了,偏偏国内的一些公司还来添乱。除了散布谣言做空外,最近又出现了特型演员做空,真是让人目瞪口呆。 在这股做空的大潮中,360公司可谓是最特立独行的一个。近日,360安全软件公司发布了一篇博文,里面详细描述了360公司下属的伏尔甘团队发现EOS安全漏洞的过程。据报道,360公司发现EOS内存在一个史诗级的漏洞,其中部分漏洞可以在EO...
SpringMVC拦截器
weixin_44551909的博客
09-29 430
开发工具与关键技术:IDEA/SpringMVC 作者:落白 撰写时间:2020年9月28日 SpringMVC的处理器拦截器类似于Servlet开发中的过滤器Filter,用于对处理器进行预处理和后处理。开发者可以自己定义一些拦截器来实现特定的功能。 过滤器与拦截器的区别:拦截器是Aop思想的具体应用 过滤器:servlet规范中的一部分,任何java工程都可以使用,在url-pattern中配置了/*之后,可以对所有要访问的资源进行拦截 拦截器:拦截器是SpringMVC框架自己的,只有使用了Sprin
weblogic和fastjson反序列化漏洞原理分析复现
09-07
WebLogic和Fastjson反序列化漏洞是两个独立的漏洞,但它们都涉及到Java反序列化安全问题。我会分别给你介绍这两个漏洞的原理和复现方法。 1. WebLogic反序列化漏洞原理分析复现WebLogic反序列化漏洞是指通过利用WebLogic Server中T3协议的漏洞,攻击者可以在目标服务器上执行任意代码。这个漏洞的根本原因是WebLogic Server在处理T3协议时未正确过滤用户提供的数据,导致攻击者可以构造恶意的序列化数据,在服务器端触发反序列化漏洞复现漏洞的步骤如下: 1) 下载并配置WebLogic Server环境。 2) 使用ysoserial工具生成payload,例如利用CommonsCollections的payload。 3) 构造T3协议请求,将生成的payload嵌入到请求中。 4) 启动WebLogic Server,并发送恶意请求。 5) 成功触发反序列化漏洞后,攻击者可以执行任意代码。 2. Fastjson反序列化漏洞原理分析复现: Fastjson是一个常用的Java JSON库,该漏洞存在于Fastjson的版本1.2.24及之前的版本中。攻击者可以通过构造恶意的JSON数据,触发Fastjson的反序列化漏洞,从而执行任意代码。 漏洞的原因是Fastjson在反序列化JSON数据时,对默认类型进行了自动化检测和加载,并且允许调用类的默认构造函数,从而导致了代码执行漏洞。攻击者可以通过构造恶意的JSON数据,在目标服务器上执行任意代码。 复现漏洞的步骤如下: 1) 下载并配置Fastjson版本1.2.24或之前的环境。 2) 使用ysoserial工具生成payload,例如利用CommonsCollections的payload。 3) 构造恶意的JSON数据,将生成的payload嵌入到JSON中。 4) 编写测试代码,使用Fastjson进行反序列化操作。 5) 执行测试代码,成功触发反序列化漏洞后,攻击者可以执行任意代码。 请注意,漏洞利用是非法行为,仅在授权范围内进行安全测试和研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值