Apache Kafka CVE-2023-25194 漏洞分析

漏洞的原理不复杂,背后的故事却很有意思。

0x01 漏洞趣闻

有意思的Credit,
upload successful

大致理理时间线

  1. 2022.04.04——jarij 在hackone上报给了个漏洞给Aiven Ltd,具体参考 https://hackerone.com/reports/1529790。Aiven 是一个云服务器提供商,包装了kafka产品,用到了debezium mysql的connector,都知道mysql jdbc connector参数如果能控制是有反序列化风险的,但这里漏洞还不是这个触发点,而是database.history.producer.sasl.jaas.config这个参数可以指定JndiLoginModule 造成JNDI 注入。
  2. 2022.11.08——漏洞详情公开。
  3. (时间未知)——4ra1n 和Y4tacker 两位师傅找到了个Apache 其他产品的漏洞,和kafka有关,最终定位为kafka的问题(细节未确认)
  4. 2023.02.08——Kafka CVE公告,参考https://kafka.apache.org/cve-list ,官方也给出了poc的重要参数xxx.overwrite.sasl.jaas.config。
  5. 2023.02.09——奇安信复现 https://nox.qianxin.com/article/518。
more >>

Tabby 源码分析

0x01 背景

与GadgetInspector 类似,Tabby 也是通过污点分析来实现的Gadget Chain挖掘。不同的是

  • Tabby 用soot 来做的静态污点分析,GadgetInspector 是用的ASM 模拟来做的污点跟踪
  • 用了Neo4j来做CPG 的查询与展示,要灵活很多
  • 优化了污点传播关系

据说Tabby 一开始是wh1t3p1g师傅的毕设,不过当时没放出tabby-path-finder,因此一直没太关注Tabby 污点分析这块,都是用手动白名单来做过滤的。KCon上师傅的PPT,收获很多,学习总结下。这里主要关注

  1. Tabby 污点传播规则
  2. Tabby soot 污点分析的实现
  3. Tabby Neo4j 搜索实现

注:本文需要对soot 有一定了解,参考fynch3r 师傅的参考【3】。

0x02 Soot 数据流分析

四步走:

upload successful

more >>

DongTai IAST Java Agent分析

0x1 背景知识

IAST 概念虽然很早就提出了,但是在实际使用情况中,因为其生产无侵入性与漏误报情况,实际使用效果还是不错的。

1.1 IAST

  • DAST (Dynamic Application Security Testing)
  • IAST (Interactive Application Security Testing)
  • RASP(Runtime Application Self-protection)
  • SAST (Static Application Security Testing)

属IAST 最模糊,与三者都有纠缠。

1.2 主动 与 被动

1.2.1 主动IAST

主动IAST很简单,可以简单理解为 动态IAST = DAST + RASP

upload successful

more >>

CobaltStrike CVE-2022-39197 漏洞分析

CobaltStrike 作为流行的cs控制工具,当CVE-2022-39197 公布后,居然可以RCE ,这对红蓝双方带来的影响自然不言而喻。

0x01 背景

这个漏洞可能是继Spring4Shell 之后的又一Java 🔥漏洞。漏洞是由beichen 师傅发现的,然后java小王子浅蓝师傅没过多久就卷出来了,接着pandan师傅、漂亮鼠师傅陆续都复现了,直到整个java安全圈都有在分析这个漏洞。

这个漏洞是很值得分析的:

  • CobaltStrike RCE,这个不用多说,攻防互换,每一种反制手段都极其罕见
  • 是Java Swing GUI 的漏洞,GUI 的RCE 凤毛麟角,很是珍贵
  • 是通用漏洞,比如 CobaltStrike 用到的Apache bakit
  • 据说beichen有jdk的链,期待

赛博群名言:只要知道有洞,就会被群友卷出来。

知道有漏洞,再去定向分析,已经是开卷考试了。但是分析过程仍然坎坷、复杂,因此对beichen 师傅认真膜一个,能从一个set点坚持找到对应的利用链,真的是很需要耐心和细心。

more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true