GadgetInspector 分析与改进

书接上回,上一节中我们分析了GI的工作流程,

  • ASM 框架的vistor 遍历机制:类、方法、接口实现关系表的构建
  • Passthrough 程序内污点分析的实现:ASM和逆拓扑排序
  • Callgraph 程序间污点分析的实现:利用passthrough生成ret污点
  • GadegetChain BSF实现

在此基础上,主要针对以下问题再深入分析分析:

  • su18师傅与Lango师傅都有提到的一些问题及改进点
  • Java的反射、多态问题是如何处理的等等
  • 已知链的覆盖及漏报情况

先来过一遍su18师傅提到的几个改进点

0x01 su18师傅的改进点

1.1 继承方法

前提知识:当一个类的方法A.method1 污点可以传播给B.method2,那么A的子类subA,如果subA没有重写method1,那么subA.method1 也可以把污点传播给B.method2。

这个很好理解,但是在GI的整个过程中

  1. 在CallGraph 阶段,ASM在遍历class的时候,只会找出所有的A.method call B.method,生成对应的关系
  2. 在GadgetChain 阶段,也只会遍历接口方法的具体实现

并没有做类似的传播。

解决

来自 threedr3am 师傅的版本

more >>

GadgetInspector 源码分析

开始啃骨头了。。。

0x01 背景知识

不了解算法原理基础上,去直接啃GI源码,真的是一件很困难的事情,难得有师傅们的经验总结,站在师傅们的肩膀上记录下GI的学习心得。

时间线

当然,还有其他的许多师傅关于GI的文章,这里没有提到,不赘述。

more >>

Struts2系列三:Struts2历史漏洞001-009

Struts2 框架虽然现在使用者很少了,但是作为一代传说,很值得分析一下。参考【8】中Qu3een 提到Spring4shell 的原理与struts2 类加载器漏洞利用方式类似,其实Confluence CVE-2021-26084 模板二次注入也和struts2 有关,因此决定系统性的梳理struts2 漏洞系列。

许多师傅们也都分析过了,参考文章中su18师傅的5篇、Qu3een师傅长篇,很详细也有深度,总结的很好。纸上得来终觉浅,本文主要还是准备作为学习笔记,其中与师傅们相似的内容就不过多赘述了。

0x01 前言

环境搭建推荐参考【8】中xhycccc 师傅的Struts2-Vuln-Demo 项目,基于IEDA 搭建的源码环境。本文中,准备每个漏洞按以下几点来进行。

  • 漏洞描述:这里不赘述,可以参考【8】中Qu3een师傅的整理
  • 漏洞影响:同上
  • 漏洞分析:按知识点来分析,师傅们主动跟踪调试的过程就不复述了
  • 漏洞修复:师傅们都穿插在文章中,单独这里也统一做个小节
  • 漏洞小结:自己理解的漏洞重点,做个小结

0x02 S2-001

影响版本:WebWork 2.1 (with altSyntax enabled), WebWork 2.2.0 - WebWork 2.2.5, Struts 2.0.0 - Struts 2.0.8
参考链接:https://cwiki.apache.org/confluence/display/WW/S2-001
描述:由于在 variable translation 的过程中,使用了 while(true) 来进行字符串的处理和表达式的解析,导致攻击者可以在可控的能解析的内容中通过添加 “%{}” 来使应用程序进行二次表达式解析,这就导致了ognl注入,也就是所谓的RCE漏洞。官方将这种解析方式描述为递归,实际上不是传统意义上的递归,只是循环解析。

2.1 背景知识

几个struts 前提知识点:

  • altSyntax: 在开启时,支持对标签中的 OGNL 表达式进行解析并执行。altSyntax 功能在处理标签时,对 OGNL 表达式的解析能力实际上是依赖于开源组件 XWork。
  • default stack
    • root: CompoundRoot
      • Action: 为当前struts action 对象
      • Provider
    • context
more >>

Confluence CVE-2021-26084 Velocity模板二次注入

Confluence CVE-2021-26084 是前台能够触发的RCE,CVSS9.8,危害不小。漏洞原因是因为Velocity 写得有问题导致可以Ognl注入,这种模板问题导致的漏洞挺少见,但是很适用,值得分析。

0x01 环境搭建

P🐮的Vulhub 有镜像,参考【2】,同样调试接口没有开出来,可以参考之前的《Confluence CVE-2022-26134 OGNL 分析》一文搭建环境。

  1. 新建Dockerfile

    1
    2
    FROM vulhub/confluence:7.4.10
    RUN sed "67 iCATALINA_OPTS=\"-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=*:5005 \$\{CATALINA_OPTS\}\"" -i /opt/atlassian/confluence/bin/setenv.sh

  2. 更新docker-compose.yml

    1
    2
    3
    4
    build: .
    ports:
      - "8090:8090"
      - "5005:5005"
more >>

Struts2系列二:JSP/Velocity模板

模板引擎注入也算是通用的漏洞类型了,不论是python/java,出现过的cve例子也不少。JSP/FreeMarker/Velocity 作为Struts2 的默认模板引擎,分析分析其实现原理,为以后的漏洞分析作铺垫。

0x01 背景知识

Struts2 Tag

Tag是struts 模板元素的基础单位。建议先阅读参考【6】中《Tag Developers Guide》。

Tag 有以下几类

  • 通用tag
    • 控制流 tag, 例如 if、else
    • 数据tag, 例如include、set、url
  • UI tag,例如 from、text、div
    • Form tag,例如 checkbox、checkbox、head
    • 非Form tag,例如actonerror、actionmessage

模板的逻辑是如何实现的呢?

more >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true