摘要:
直接定位SearchPublicRegistries.jsp文件,47行接受输入的变量。 结果输出位置在120行 SearchPublicRegistries.jsp引入com.bea.uddiexplorer.Search包,导入对应jar包 关键函数就在这里,sendMessage函数前面构造s 阅读全文
摘要:
ThinkPHP5 核心类 Request 远程代码漏洞分析 先说下xdebug+phpstorm审计环境搭建: php.ini添加如下配置,在phpinfo页面验证是否添加成功。 配置phpstorm设置里的Server 配置phpstorm设置里的debug port端口和上面配置文件开放端口一 阅读全文
摘要:
weblogic之CVE 2018 3191漏洞分析 理解这个漏洞首先需要看这篇文章: "https://www.cnblogs.com/afanti/p/10193169.html" 引用廖新喜说的,说白的就是反序列化时lookup中的参数可控,导致 JNDI注入 AbstractPlatform 阅读全文
摘要:
说一下复现CVE 2017 3248可以参考p牛的环境,p牛的环境CVE 2018 2628实际就是CVE 2017 3248,他漏洞编号这块写错了。 攻击流程就如下图,攻击者开启JRMPListener监听在1099端口,等待受害者链接,当受害者链接时,把gadgets返回给客户端: CVE 20 阅读全文
摘要:
将反序列化的对象封装进了weblogic.corba.utils.MarshalledObject,然后再对MarshalledObject进行序列化,生成payload字节码。由于MarshalledObject不在WebLogic黑名单里,可正常反序列化,在反序列化时MarshalledObje 阅读全文
摘要:
此漏洞是基于CVE 2015 4852漏洞进行黑名单的绕过,CVE 2015 4852补丁主要应用在三个位置上 所以如果能找到可以在其readObject中创建自己的InputStream的对象,并且不是使用黑名单中的ServerChannelInputStream和MsgAbbrevInputSt 阅读全文
摘要:
首先说一下远程调试的配置,首先在weblogic的启动文件加入如下配置,开启服务器远程调试端口就是9999: 第二步,建立一个java的空项目。 第三步将weblogic的所有jar包拷出来,放到一个文件中。 第四步把jar包导入idea的lib配置中 第五步添加一个remote,端口修改为9999 阅读全文
摘要:
• 使用java.net.URLClassLoader类,远程加载自定义类(放在自己服务器上的jar包),可以自定义方法执行。 • 在自定义类中,抛出异常,使其成功随着Jboss报错返回命令执行结果。 首先得通过代码执行将ErrorBaseExec写到服务器上。 第二步本地将ErrorBaseExe 阅读全文
摘要:
这个洞的cve编号:CVE 2017 17485,漏洞环境就如第一个链接那样,jdk需要在jdk 1.8以上。 先看一下Jackson databind的用法,说白了就是将json转换成对象。 test legit.json代码如下 运行结果如图: 如果注入的json代码如下代码,就会引入FileS 阅读全文
摘要:
AnnotationInvocationHandler关键类 Commons Collections1也是利用InvokerTransformer类中的transform方法反射机制执行命令。实验用的是commons collections 3.1这里说一下为什么调用构造elEntry.setVal 阅读全文