Apache Solr在创建Collection时会以一个特定的目录作为classpath,从中加载一些类,而Collection的备份功能可以导出攻击者上传的恶意class文件到该目录,从而让Solr加载自定义class,造成任意Java代码执行,可以进一步绕过Solr配置的Java沙箱,最终造成任意命令执行。

阅读全文 »

这篇笔记是一个多月前写的,本来是想分析漏洞 CVE-2023-22522,但当时关于该漏洞的信息太少,最后也没分析出该漏洞原貌。笔记只留下一些环境搭建的方法和分析思路,另外还有一个不太算漏洞的漏洞,官方给了$300意思意思

阅读全文 »

JDWP全称Java Debug Wire Protocol,JDWP漏洞指对外开放了Java调试服务,从而可以实现远程代码执行。目前JDWP的武器化脚本一般只能命令执行,但直接执行命令可能被RASP拦截告警,或者被入侵检测发现,而且在实际渗透测试过程中,也不一定需要执行命令,更需要的可能是一个入口,这种情况下通常是注入内存马或者内存代理。本文基于这个需求实现了可以动态执行代码并注入内存马的JDWP漏洞利用工具。

阅读全文 »

ActiveMQ中,经过身份验证的用户默认情况下可以通过/api/jolokia/接口操作MBean,其中FlightRecorder可以被用于写Jsp WebShell,从而造成远程代码执行漏洞

FlightRecorder存在于Jdk 11+,具体类名:jdk.management.jfr.FlightRecorderMXBeanImpl

阅读全文 »

当受影响版本的 Spring-Kafka Consumer 未对Record配置 ErrorHandlingDeserializer 并设置 checkDeserExWhenKeyNull 或 checkDeserExWhenValueNull 为 true 且攻击者可以发布 Kafka 消息时,将会存在Java反序列化漏洞。只需发布 key 或 value 为 null 的消息,且在相应的header中放入序列化数据,便可以任意反序列化

阅读全文 »

通过Docker编译OpenJDK源码,并生成CodeQL数据库。之前编译过JDK,不过没留存环境,重复手动构建编译环境有点麻烦,这次顺便记录一下编译过程及Dockerfile

阅读全文 »

最近学了下Go,也准备挖一下Go WEB应用的漏洞。梳理了Grafana的结构,调试分析了Grafana的一些历史漏洞及修复方案,也在分析过程中挖到了新的。感觉Go语言确实是比较安全的,很多漏洞其实都是代码逻辑上的问题

阅读全文 »

CVE-2023-33246 是通过updateBrokerConfig更新Broker的filterServerNumsrocketmqHome这两项配置进行RCE的(rocketmqHome会被拼接到命令中执行,filterServerNums>0 是进入命令执行的前提条件)

修复的逻辑是直接删除相关代码

但从仓库的修复代码来看,还存在另一处RCE的点,不过官方只发布了上述一个CVE编号

阅读全文 »
0%