最近在复盘confluence CVE-2022-26134 这个漏洞,发现根本原因还是Struts2 架构的问题,这块的知识点挺多,不是一篇文章能解释清楚的,因此准备搞个系列,理理Struts2 架构相关的漏洞及原理。
参考【1】中R17a 已经有整理了相关的OGNL相关基础知识,这里不做深入介绍,简单罗列下知识点。
以以下poc为例
1 | Ognl.getValue("@java.lang.Runtime@getRuntime().exec('open -a Calculator')", context, context.getRoot()); |
发现半年没写文章了。。。
P🐮的Vulhub 有镜像了,不过调试接口没有开出来,这里稍微补充下。
在vulhub/confluence/CVE2022-26134 目录下
1 | FROM vulhub/confluence:7.13.6 |
1 | build: . |
1 | docker-compose up -d |
上面的JNDI 注入的JDK 版本限制已经耳熟能详了,针对JNDI-RMI 的tomcat EL 绕过姿势也被经常提起,本文尝试回溯这一姿势的发现过程。
必须了解两个重要的类
通常攻击场景下,Registry是作为RMI服务端,RegistryContext是作为攻击的client端,也就是vuln。
more >>pyn3rd师傅的《Make JDBC Attack Brilliant Again》中有一个0day是mysql jdbc xxe,thread3am师傅也早就复现出来了,而且还发现了h2的xxe。膜一个,师傅们都太🐂🍺了。很多师傅们也复现了,再讲也没啥意思了,用CodeQL整点新的吧。
CVE-2021-2471 mysql jdbc xxe在HITB ppt里面,没有讲DOMSource XXE这一部分,原因应该是pyn3rd师傅提漏洞还未公开,没写在ppt里面。所以这个洞有两个东西:
a. DOMSource XXE, 影响所有版本,官方8.0.27中修复掉了
b. Fabric XXE, 影响5.x, 在5.1.49中修复
CodeQL CWE-611有XXE的检测poc,不过source源不支持mysql。
漏洞代码在 com.mysql.cj.jdbc.MysqlSQLXML#getSource
more >>月底在即,再不写点东西,每月一篇都要食言了。上个月刚挖的OpenRASP的坑,本打算再研究研究绕过姿势,验证下猜想,也没下文。正好6月份交的XStream SSRF Gadget CVE下来,之前XStream系列草稿箱里也待着之前逆向分析师傅们挖掘的思路&手法,正好编辑编辑,水一篇”如何挖掘XStream Gadgets”。
首先感谢Wh1t3p1g师傅的Tabby,用起来比gadgetinspector更顺手,找链神器。
有关Tabby的介绍,详情可以参考【1】中Wh1t3p1g师傅的几个wiki,写的很详细了,这里也不多啰嗦。(这里膜一下Wh1t3p1g师傅)
Neo4j 查询比较吃cpu,小本本加上idea同时跑吃力,搞台vps跑比较好,但是tabby是通过apoc.load.csv file写Neo4j数据的,相当于限制了本机,因此给下整库的dump和load(当然,直接整个在vps上操作也是ok的)。
1 | # dump neo4j database |
1 | # load neo4j dump file |
缺失模块。
1、请确保node版本大于6.2
2、在博客根目录(注意不是yilia根目录)执行以下命令:
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置:
jsonContent:
meta: false
pages: false
posts:
title: true
date: true
path: true
text: false
raw: false
content: false
slug: false
updated: false
comments: false
link: false
permalink: false
excerpt: false
categories: false
tags: true