Java安全之JBoss反序列化漏洞分析

Java安全之JBoss反序列化漏洞分析0x00前言看到网上的Jboss分析文章较少,从而激发起了兴趣。前段时间一直沉迷于工具开发这块,所以打算将jboss系列反序列化漏洞进行分析并打造成GUI

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

Java安全之JBoss反序列化漏洞分析

0x00 前言

看到网上的Jboss分析文章较少,从而激发起了兴趣。前段时间一直沉迷于工具开发这块,所以打算将jboss系列反序列化漏洞进行分析并打造成GUI的工具集。当然反序列化回显这块也是需要解决的一大问题之一,所以下面会出一系列文章对该漏洞的分析到工具的构造进行一个记录。

0x01 环境搭建

首先拿CVE-2017-12149漏洞为例,进行调试分析。

CVE-2017-12149漏洞影响版本: 5.X 及 6.X

漏洞描述

该漏洞为 Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

调试环境搭建

远程调试

版本要求:JBoss-EAP-7.0及其以上版本

在Jboss的bin目录下有个standalone.bat文件,以文本的形式打开此文件,在Jboss的bin目录下有个standalone.bat文件。

set DEBUG_MODE=false 
set DEBUG_PORT_VAR=8787

false改成true就可以改成调试模式了,8787是调试模式的端口。重启Jboss

而5.x、6.x:

jboss-6.1.0.Final/bin/run.conf 中#JAVA_OPTS="$JAVA_OPTS -Xrunjdwp:transport=dt_socket,address=8787,server=y,suspend=n"#即可。

为了方便这里使用

进去/vulhub-master/jboss/CVE-2017-12149修改docker-compose.yml 文件添加8787端口

version: '2'
services:
  jboss:
    image: vulhub/jboss:as-6.1.0
    ports:
      - "9990:9990"
      - "8080:8080" 
      - "8787:8787"

jboss-6.1.0.Final/bin/run.conf 中#JAVA_OPTS="$JAVA_OPTS -Xrunjdwp:transport=dt_socket,address=8787,server=y,suspend=n"#

重新启动容器即可

docker restart 808d3fffae0c

此处有坑点,个别漏洞调用链查看不了可能是确实代码,需要添加资源到idea中,而本次的这个核心漏洞组件httpha-invoker.sar,打包成jar包后无法进行断点,需要扔到jd-gui中进行反编译打包后添加到idea资源中。

0x02 漏洞分析

Java安全之JBoss反序列化漏洞分析

查看调用链定位漏洞位置

Java安全之JBoss反序列化漏洞分析

Java安全之JBoss反序列化漏洞分析

直接就接受值进行反序列化了,但并不是在一个位置存在任意数据反序列化

以上是org.jboss.invocation.http.servlet#ReadOnlyAccessFilter类的反序列化位置

Java安全之JBoss反序列化漏洞分析

org.jboss.invocation.http.servlet#InvokerServlet同样存在任意反序列化点

Java安全之JBoss反序列化漏洞分析

Java安全之JBoss反序列化漏洞分析

查看web.xml发现/invoker/JMXInvokerServlet/*,/invoker/readonly,/JMXInvokerServlet/等地方都可触发。

关于CVE-2017-7504类似漏洞位置在/jbossmq-httpil/HTTPServerILServlet ,在此不做分析。

0x03 结尾

文章略显水分,因为JBoss这些漏洞接受过来就直接进行反序列化了,而且还是接受原生的数据并未进行加密解密处理。分析起来比较简单,但是反序列化回显的构造又成了一大问题,下篇文章再对反序列化回显进行探究。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119878.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)
blank

相关推荐

  • Windows配置Java环境变量(下载、安装、配置环境)[通俗易懂]

    Windows配置Java环境变量(下载、安装、配置环境)[通俗易懂]本人以博客专家担保,本篇文章可以解决你的问题,若未解决,将为你远程操作,但希望你为我点一个关注!!!推荐文章MySql5.7安装教程(超详细)https://myhub.blog.csdn.net/article/details/103532734(JavaSE)目录下载、安装配置环境变量下载、安装进入官网下载https://www.oracle.com/…

  • docker nginx+php(docker nginx反向代理)

    一、docker安装:将微信公众号项目运行绑定至80端口(微信服务器只能和外部开通了80端口的服务器之间通信)docker一次构建可放在任何地方就可以运行,不需要进行任何改变DocKer就类似于一个容器。这个容器就好像咱们常用的虚拟机一样,当我们虚拟机里面安装过VS、SQL、浏览器……之后咱们就把虚拟机镜像备份下来、等到下一次需要重新搭一个环境的时候,就可以省去很多事情了,直接…

  • vue(17)vue-route路由管理的安装与配置「建议收藏」

    vue(17)vue-route路由管理的安装与配置「建议收藏」介绍VueRouter是Vue.js官方的路由管理器。它和Vue.js的核心深度集成,让构建单页面应用变得易如反掌。包含的功能有:嵌套的路由/视图表模块化的、基于组件的路由配置路由参

  • jsonschema校验json数据_xml schema校验

    jsonschema校验json数据_xml schema校验ajv使用在使用前,需要知道json-schema是什么。json-schemajson-schema是一个用来描述json数据格式。ajvajv是一个校验json-schem

  • pycharm更改运行的快捷键_pycharm常用快捷键

    pycharm更改运行的快捷键_pycharm常用快捷键直接remove就可以了

  • 路由器04–OPKG

    路由器04–OPKG1.简介https://oldwiki.archive.openwrt.org/doc/techref/opkgOpkg是一个基于ipkg的轻量级的软件包管理系统,主要用于嵌入式系统,目前应用opkg的有OpenWRT和OpenEmbedded。1Opkg的详细使用方法可以参考OpenWRT的WIKI页面,不再赘述,本文将重点解释opkg的工作原理。…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号