Apache Druid CVE-2021-25646 漏洞分析

Litch1大佬的这个洞有意思,终于有时间分析下,记录下分析过程

环境搭建

https://archive.apache.org/dist/druid/

1
$wget https://archive.apache.org/dist/druid/0.20.0/apache-druid-0.20.0-bin.tar.gz && tar -xzvf apache-druid-0.20.0-bin.tar.gz

根据参考,修改conf/druid/single-server/micro-quickstart/coordinator-overlord/jvm.config,末尾增加调试参数

1
-Xdebug -Xnoagent -Djava.compiler=NONE -Xrunjdwp:transport=dt_socket,server=y,suspend=n,address=5005
more >>

pyAntiSSRF:python SSRF防御SDK

发现居然没有特别好用的python防御ssrf好用的pip库,造个轮子

  • 支持pip简单安装
  • 支持 py2&py3
  • 直接通过参数引用,直接hijack最常用的requests库,不引入第三方函数
  • 支持防御DNS rebinding

SSRF原理及防御

ssrf攻击及防御这里不延伸,可参考【1】,p神讲的挺明白了,提两点

  1. 原文没涉及到dns rebinding的防御,其实防御思路也很简单,只进行1次dns请求即可
  2. 循环hijack requests这个思路提到过,但是不是最优解,其实直接hijack requests.sessions.Session.request即可,所有的requests get/post最终都调用的这个函数

具体没啥可说的,看代码【2】吧

使用

pip install pyAntiSSRF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 1. import & patch requests库
import pyAntiSSRF
pyAntiSSRF.patchRequests()

# 2. 通过参数anti_ssrf(get/post/request函数都支持,默认不开启),控制是否开启ssrf防御,如果开启且目标ip是内网,则会抛出异常
import requests
# custom requests usage
requests.get("http://10.10.10.10/")

# patch requests by hijack requests.sessions.Session.request, default disable
requests.get("http://10.10.10.10/", anti_ssrf=False)

# raise Exception
requests.get("http://10.10.10.10/", anti_ssrf=True)
more >>

Java内存shell:Tomcat回显

Tomcat回显 与 Java内存shell有什么关系?

在java漏洞利用中如何获取到执行结果?这是Tomcat回显的最原始需求,具体可以参考【4】中的许多手法,这里不展开

其中提到一种思路,获取response,然后直接操作response以http形式返回。而Java内存shell中,很重要的一点就是获取request从而获取上下文cotext,其中获取request的思路相似通用可借鉴。

历史背景

参考【1】中李三师傅总结了之前比较经典的tomcat回显方式,写的很好,直接复用:

more >>

Java内存shell:三方框架

前文tomcat的通用servlet内存马已经基本可以覆盖大部分的情况,针对第三方框架,思路也是一样的,姿势不同。观星实验室的师傅们在参考【1】中提到了关于Sping的姿势,这里学习记录下。

Spring

具体的背景不赘述,详见参考【1】,几个重点的步骤

  1. 获得当前代码运行时的上下文环境
  2. 手动注册 controller
  3. controller 中的 Webshell 逻辑

文中师傅没有给出直接运行的poc,这里给一下

Show me the code

more >>

Java内存shell:javaagent

rebeyond 师傅在参考【1】中提出利用javaagent 永久注入tomcat进程的方案,有几个重要的技术点

  1. javaagent技术
  2. javassist技术
  3. tomcat ApplicationFilterChain.internalDoFilter方法
  4. ShutdownHook 钩子

javassist技术

Java 字节码以二进制的形式存储在 .class 文件中,每一个 .class 文件包含一个 Java 类或接口。Javaassist 就是一个用来 处理 Java 字节码的类库。它可以在一个已经编译好的类中添加新的方法,或者是修改已有的方法,并且不需要对字节码方面有深入的了解。同时也可以去生成一个新的类对象,通过完全手动的方式。

javassist 相关文档可以参考【2】和【3】,以简单的javassist demo
为例

more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true