1.ActiveMQ 反序列化漏洞(CVE-2015-5254)
ref:https://www.nanoxika.com/?p=408
Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,該漏洞源於程序沒有限制可在代理中序列化的類。遠程攻擊者可借助特制的序列化的Java Message Service(JMS)ObjectMessage對象利用該漏洞執行任意代碼。
漏洞觸發條件:通過web管理頁面訪問消息並觸發漏洞這個過程需要管理員權限。
漏洞利用過程:
- 構造(可以使用ysoserial)可執行命令的序列化對象
- 作為一個消息,發送給目標61616端口
- 訪問web管理頁面,讀取消息,觸發漏洞
運行漏洞環境:環境運行后,ActiveMQ將監聽61616和8161兩個端口。其中61616是工作端口,消息在這個端口進行傳遞;8161是Web管理頁面端口。
訪問http://your-ip:8161
即可看到web管理頁面,不過這個漏洞理論上是不需要web的。
2.ActiveMQ任意文件寫入漏洞(CVE-2016-3088)
ref:https://www.nanoxika.com/?p=412
ActiveMQ的web控制台分三個應用,admin、api和fileserver,其中admin是管理員頁面,api是接口,fileserver是儲存文件的接口;admin和api都需要登錄后才能使用,fileserver無需登錄。fileserver是一個RESTful API接口,我們可以通過GET、PUT、DELETE等HTTP請求對其中存儲的文件進行讀寫操作,其設計目的是為了彌補消息隊列操作不能傳輸、存儲二進制文件的缺陷,但后來發現:
- 其使用率並不高
- 文件操作容易出現漏洞
所以,ActiveMQ在5.12.x~5.13.x版本中,已經默認關閉了fileserver這個應用(你可以在conf/jetty.xml中開啟之);在5.14.0版本以后,徹底刪除了fileserver應用。在測試過程中,可以關注ActiveMQ的版本,避免走彎路。本漏洞出現在fileserver應用中,漏洞原理其實非常簡單,就是fileserver支持寫入文件(但不解析jsp),同時支持移動文件(MOVE請求)。所以,我們只需要寫入一個文件,然后使用MOVE請求將其移動到任意位置,造成任意文件寫入漏洞。
3.Apache Tomcat 遠程代碼執行漏洞(CVE-2016-8735)
Tomcat中也使用了JmxRemoteLifecycleListener這個監聽器,但是Tomcat並沒有及時升級,所以導致了這個遠程代碼執行漏洞。
此漏洞在嚴重程度上被定義為Important,而非Critical,主要是因為采用此listener的數量並不算大,而且即便此listener被利用,此處JMX端口訪問對攻擊者而言也相當不尋常。
影響較小:1)Tomcat默認是沒有catalina-jmx-remote.jar包;2)要啟用JmxRemoteLifecycleListener包,默認情況下是不啟用的
受影響版本:
Apache Tomcat 9.0.0.M1 to 9.0.0.M11
Apache Tomcat 8.5.0 to 8.5.6
Apache Tomcat 8.0.0.RC1 to 8.0.38
Apache Tomcat 7.0.0 to 7.0.72
Apache Tomcat 6.0.0 to 6.0.47
4.Apache Tomcat漏洞 之 CVE-2017-12617_漏洞
影響啟用了HTTP PUT的系統(通過將默認servlet的“只讀”初始化參數設置為“false”,默認不啟用!)受到影響。
如果默認servlet的參數只讀設置為false,或者配置了默認servlet,則在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的Tomcat版本在所有操作系統上包含潛在危險的遠程代碼執行(RCE)
ref:https://yq.aliyun.com/ziliao/293207,http://www.freebuf.com/vuls/150203.html
修改 D:\ProgramFiles\Apache Software Foundation\Tomcat 7.0\conf\web.xml 配置文件,增加 readonly 設置為 false ,一定要記得重啟下tomcat服務。
4.Spring Security / MVC Path Matching Inconsistency(CVE-2016-5007,越權): ref:0c0c0f
此漏洞影響的Spring Web和Spring Security使用HttpSecurity.authorizeRequests用於URL訪問控制的應用。
風險級別:中
漏洞利用:遠程
影響:請求授權繞過.例如將用戶user提升為管理員權限。越權
http.authorizeRequests() .antMatchers("/resources/**", "/signup", "/about").permitAll().antMatchers("/admin/**").hasRole("ADMIN")
提交user%2f則可以繞過權限控制。主要原因在於security校驗時采用了全部匹配,但是spring mvc刪除了非法字符,這就變成訪問admin了。
也就是校驗和實際訪問發生了變化。
5.CVE-2016-9879 Encoded "/" in path variables,spring security訪問繞過
與CVE-2016-5007類似。
影響范圍
條件一:SpringSecurity 3.2.0 - 3.2.9, 4.0.x - 4.1.3, 4.2.0
條件二:部署在IBMWebSphereApplication Server 8.5.x 的容器中.tomcat目前不受影響。
CVE-2016-9879 bypass類似這樣
Anapplication that uses the followingintercept URL pattern:
<intercept-urlpattern="/a/b/c"access="PERMISSION_Guest"/>
<intercept-urlpattern="/a/b/1/c"access="PERMISSION_ADMIN"/>
to protectURLs such as:/myapp/a/b/c can be exploited by an attacker that uses aURL of the form:/ctx/a/b;%2f1/c
低權限的攻擊者提交/ctx/a/b;%2f1/c,SpringSecurity認為/a/b/c則認為權限符合規則的,但是實際經過Spring MVC框架過濾掉;和解碼之后最終的地址變成了/a/b/1/c達到了未授權訪問的目的。
Users of Apache Tomcat (all current versions) are not affected by this vulnerability since Tomcat follows the guidance previously provided by the Servlet Expert group and strips path parameters from the value returned by getContextPath(), getServletPath() and getPathInfo() [1].
6.CVE-2016-2173 Remote Code Execution in Spring AMQP: ref:0c0c0f
消息系統各大公司常見基礎框架之一,之前在black hat usa 2016,code white團隊的@matthias_kaiser介紹了主流消息系統的反序列化漏洞。
受影響的漏洞版本:
Apache ActiveMQ 5.12.0 and earlier
HornetQ 2.4.0 and earlier
Oracle OpenMQ 5.1 and earlier
IBM Websphere MQ 8.0.0.4 and earlier
Oracle Weblogic 12c and earlier
Pivotal RabbitMQ JMS client 1.4.6 and earlier
IBM MessageSight MessageSight V1.2 JMSClient and earlier
SwiftMQ JMS client 9.7.3 and earlier
Apache ActiveMQ Artemis client 1.2.0 and earlier
Apache Qpid JMS client 0.9.0 and earlier
Amazon SQS Java Messaging Library 1.0.0 and earlier
Spring AMQP簡介:Spring AMQP 是基於 Spring 框架的 AMQP 消息解決方案,提供模板化的發送和接收消息的抽象層,提供基於消息驅動的 POJO。同時有 Java 和 .NET 的版本。
Java漏洞版本: <spring.amqp.version>1.5.4.RELEASE</spring.amqp.version>
7.Jackson enableDefaultTyping 方法反序列化代碼執行漏洞(CVE-2017-7525)
Jackson是一個開源的Java序列化與反序列化工具,可以將java對象序列化為xml或json格式的字符串,或者反序列化回對應的對象,由於其使用簡單,速度較快,且不依靠除JDK外的其他庫,被眾多用戶所使用。Jackson官方已經發布補丁修復了該開源組件。
由於Jackson在處理反序列的時候需要支持多態,所以在反序列的時候通過指定特定的類來達到實現多態的目的。這個特性默認是不開啟的。
使用條件:
- Jackson Version 2.7.* < 2.7.10,Jackson Version 2.8.* < 2.8.9
- web應用必須應用jackson來反序列化json數據。也即必須有用戶惡意的輸入
- 必須開啟多態(默認不開啟)
1)jackson序列化:All data binding starts with a com.fasterxml.jackson.databind.ObjectMapper
instance, so let's construct one:
ObjectMapper mapper = new ObjectMapper(); // create once, reuse,利用objectMapper來序列化
The default instance is fine for our use -- we will learn later on how to configure mapper instance if necessary. Usage is simple:
MyValue value = mapper.readValue(new File("data.json"), MyValue.class);
value = mapper.readValue(new URL("http://some.com/api/entry.json"), MyValue.class);
value = mapper.readValue("{\"name\":\"Bob\", \"age\":13}", MyValue.class);
2)反序列化And if we want to write JSON, we do the reverse
mapper.writeValue(new File("result.json"), myResultObject);最終調用newinstance
byte[] jsonBytes = mapper.writeValueAsBytes(myResultObject);
String jsonString = mapper.writeValueAsString(myResultObject);
3)Jackson多態類型綁定
為了讓Jackson支持多態,Jackson官方提供了幾種方式,下面介紹兩種常用方式(https://github.com/FasterXML/jackson-docs/wiki/JacksonPolymorphicDeserialization)
第一種:全局Default Typing機制,啟用代碼如下:
objectMapper.enableDefaultTyping(); // default to using DefaultTyping.OBJECT_AND_NON_CONCRETE objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
這是一個全局開關,打開之后,在持久化存儲數據時會存儲准確的類型信息。
第二種:為相應的class添加@JsonTypeInfo注解
public ObjectMapper enableDefaultTyping(DefaultTyping dti) { return enableDefaultTyping(dti, JsonTypeInfo.As.WRAPPER_ARRAY); }
通過閱讀源碼也能發現,全局Default Typing機制也是通過JsonTypeInfo來實現的。下面來看一個簡單的示例:
@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS, include = JsonTypeInfo.As.WRAPPER_ARRAY) class Animal { } 在超類Animal上加上一段@JsonTypeInfo,所有Animal的子類反序列化都可以准確的對於子類型。
這段注解什么意思呢?JsonTypeInfo.Id.CLASS是指序列化或者反序列時都是全名稱,如org.codehaus.jackson.sample.Animal
,JsonTypeInfo.As.WRAPPER_ARRAY
意為使用數組表示,如
[ "com.fasterxml.beans.EmployeeImpl", { ... // actual instance data without any metadata properties } ]則在反序列化時,告訴ObjectMapper將該json字符串轉化為EmployeeImpl對象。而該字符串對象類型用戶可控。
ref:https://www.seebug.org/vuldb/ssvid-92962。漏洞簡單利用
https://paper.seebug.org/473/
http://www.cnblogs.com/hoojo/archive/2011/04/22/2024628.html:jackson用法