hvv面试常见框架漏洞

1.thinkphp

特征判断

  1. 直接在url后加/?s=1
  2. whatweb进行探测,方式:whatweb URL

漏洞

5.0 RCE

原理

thinkphp底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,没有对""进行过滤,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生

think PHP 5 SQL注入漏洞和敏感信息泄露漏洞

传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。

2.shiro 框架

shiro550

原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cookie值先base64解码然后AES解密再反序列化(AES是硬编码的),就导致了反序列化RCE漏洞。

特征

在返回包的Set-Cookie中存在rememberMe=deleteMe 字段

shiro721

原理

Apache Shiro RememberMe Cookie默认通过AES-128-CBC模式加密,这种加密方式容易受到Padding Oracle Attack(Oracle填充攻击),利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击

复现

先使用合法账号进行登录勾选remember Me然后使用bp抓包,
然后获取到cookie,将remember me字段复制下利用工具生成恶意的rememberme

550和721区别

550不需要登录,721需要登录获取正确的cookie,550是因为aes密钥是硬编码,所以直接可以构造payload,而721是利用Oracle填充攻击,将正确的cookie作为攻击前缀从而生成攻击payload
利用漏洞时550只需要一个url就可以利用工具实现检测和攻击,721需输入url,提供一个有效的rememberMe Cookie

3.log4j框架

Log4j是一个Java日志框架,用于生成日志信息,可以帮助开发者进行调试和问题排查。它可以生成不同级别的日志信息,并可以将日志信息输出到不同的目标,如控制台、文件或数据库等

特征:

${jndi :ldap(rmi)://url}

原理

Log4j2解析用户输入的消息时,未能对消息内容进行正确的过滤和检测,导致了恶意代码的注入。攻击者可以通过在用户输入中注入恶意对象和类名,触发Log4j2在反序列化时实例化并执行恶意代码,从而导致远程代码执行漏洞

利用

  1. 攻击者构造一个恶意日志消息,其中包含一个恶意Java对象,其类名是恶意代码的类名。
  2. 攻击者向目标系统的Log42日志记录器发送恶意消息。
  3. Log42会在处理消息时,通过使用默认的反序列化器将消息数据反序列化成Java对象。
  4. 攻击者在恶意消息中,构造了一个使用了恶意代码类的对象。
  5. 在实例化对象时,恶意代码的类会被加载,并执行其中恶意代码,导致远程代码执行漏洞。
  6. 攻击者在目标系统上获得远程控制权限。

防护

  1. 添加jvm启动参数-D log4j2. formatmsgnolookups=true
  2. 在应用 classpath下添加log4j2 component properties配置文件,文件内容为1中的指令
  3. 部署使用第三方防火墙产品迸行安全防护。

4.fastjson框架

Json是一种轻量级的数据交换格式,采用一种“键:值”对的文本格式来存储和表示数据,在系统交换数据过程中常常被使用,是一种理想的数据交换语言。在使用 Java 做 Web 开发时,不可避免的会遇到 Json 的使用。
介绍:Fastjson是一个Java语言编写的高性能JSON处理框架,由阿里巴巴集团开发和维护。它提供了一种快速、灵活和方便的方式来处理JSON数据

框架特征

  1. 任意抓包,提交方式改为post,花括号不闭合,返回包回出现fastjson字样
  2. 没回显就构造payload放dnslog盲打(dnslog.cn)

反序列化漏洞(1.2.24)

原理:

利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。

5.struts2框架

框架特征:

  1. URL 中添加不存在路径:在 URL 的反斜杠部分添加网站不存在的路径,最好是随机字符串组成的较长路径,如果返回同样的页面,则大概率是 Struts2 框架

例如:URL/S2_016_war/barspace/aaaaaaaaaa1/bbbbbbbb2/ccccccccc3/ddddddddddddd4/login.action
因为按照 Struts2 框架规则,首先会在当前路径下找 action 名 login,如果没有找到去上一层找,还没有找到会去上上层找,一直找到应用程序的根路径为止。层层向上查找,直接找到应用程序为止。

  1. URL 添加 /struts/domTT.css,若返回css代码,则大概率strust2,domTT.css在Struts2 的 jar 包中
  2. 输入一个不存在路径,返回404,或者传入乱码,造成500报错,抛出异常(根据异常信息判断)Struts2 常用的关键字有:no action mapped、struts2、namespace、defined for action等。
    攻击特征:
  3. url攻击特征:...*.action?method | ?redirect:$
  4. Content-Type攻击特征:%{#context
  5. 报文攻击特征:#_memberAccess

s2-048 RCE

原理:问题在struts2-struts1-plugin这个插件包上。这个库的主要作用就是将struts1的action封装成struts2的action以便它能在strut2上运行使用。
而由于struts2-struts1-plugin 包中的 “Struts1Action.java” 中的 execute函数可以调用 getText() 函数,这个函数刚好又能执行OGNL表达式,同时这个 getText() 的 参数输入点,又可以被用户直接进行控制,如果这个点被恶意攻击者所控制,就可以构造恶意执行代码,从而实现一个RCE攻击。

OGNL表达式
是对象图导航语言,功能强大的表达式语言,通过简单的表达式语言,就可以存取对象的任意属性,调用对象的方法
关键特点和用法示例:
1.导航对象图:OGNL允许通过点号(.)来导航对象图的属性和方法。例如,person.name表示访问person对象的name属性。
2.访问集合和数组:OGNL支持对集合和数组进行访问和操作。可以使用方括号([])来获取集合或数组的元素,例如,list[0]表示获取列表的第一个元素。
3.方法调用:OGNL允许调用对象的方法,并传递参数。例如,person.getName()表示调用person对象的getName()方法。
4.表达式计算:OGNL支持在表达式中执行算术运算、逻辑运算、比较运算等。例如,age > 18 && age < 60表示判断age是否大于18且小于60。
5.条件判断:OGNL支持条件判断,可以使用三元表达式(? :)来实现条件判断。例如,score >= 60 ? "Pass" : "Fail"表示如果score大于等于60,则返回"Pass",否则返回"Fail"。
6.调用静态方法和访问静态字段:OGNL支持调用静态方法和访问静态字段。可以使用@符号来指示静态方法和静态字段。例如,@java.lang.Math.abs(-5)表示调用Math类的静态方法abs()。6.调用静态方法和访问静态字段:OGNL支持调用静态方法和访问静态字段。可以使用@符号来指示静态方法和静态字段。例如,@java.lang.Math.abs(-5)表示调用Math类的静态方法abs()。

s2-062 RCE

原理:

开发人员使用%{…} 语法进行强制 OGNL 解析,有一些特殊的TAG属性可以执行二次解析。对不受信任的用户输入使用强制 OGNL 解析可能会导致远程代码执行。

修复

  1. 通过给所有属性一个空白值 =“”
  2. 将 org.apache.commons.collection.BeanMap 添加到 Struts2 沙箱的 excludeClasses 列表将排除直接使用它
  3. 升级到最新版本

6.spring框架

框架特征

  1. url中添加不存在路径,spring框架会报错,他会含有whitelabel Error Page关键字
  2. 访问/oauth/authorize路径 favicon.ico spring是一片小绿叶

Framework反序列化漏洞(CVE-2017-8047):

在Spring Framework中,如果应用程序未正确处理反序列化操作,攻击者可以通过构造恶意的序列化数据,执行任意代码。

AMQP远程命令执行漏洞(CVE-2017-8045):

原理

在Spring AMQP的Message类中,如果应用程序未正确配置(前置条件:将请求的ContentType设置为application/x-java-serialized-object),攻击者可以通过构造恶意的AMQP消息,使得getBodyContentAsString方法中将接收到的消息进行反序列化操作,从而导致任意代码执行。

posted @ 2023-06-13 08:29  Nuy0ah  阅读(562)  评论(0编辑  收藏  举报