0%

Weblogic IIOP协议默认开启,跟T3协议一起监听在7001端口,这次漏洞主要原因是错误的过滤JtaTransactionManager类,JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了,T3协议使用的是resolveClass方法去过滤,resolveClass方法是会读取父类的,所以T3协议这样过滤没问题。但是IIOP协议这块虽然也是使用的这个黑名单列表,但不是使用resolveClass方法去判断,默认只会判断本类的类名,而JtaTransactionManager类不在黑名单列表里面并且存在jndi注入

阅读全文 »

前两天见有同学写QQ机器人用于每天代为疫情打卡,感觉是挺方便的,但有违学校规定,后被迫停止了,遂自己写了脚本挂服务器,然后感觉这个机器人挺有趣,小小研究了下

阅读全文 »

该漏洞存在于spring-tx.jar包的org.springframework.transaction.jta.JtaTransactionManager类,该类实现了Java Transaction API,主要功能是处理分布式的事务管理,其重写了readObject方法,导致反序列化时该类时产生JNDI注入的问题从而RCE。但并不是spring最基本的包,默认不使用,所以并不是所有使用了spring框架的应用都受影响,需要具体检查是否包含了spring-tx.jar包

阅读全文 »

最近在学习几位师傅研究的Java Web代码执行漏洞下的回显方式,收获很多,能力有限,此文也没有什么新的思路,仅当个人学习笔记

在java漏洞利用中经常出现获取不到执行结果的情况,之前常见的方法即通过报错回显,OOB等,但在国内环境下大多数情况下都限制了对外的网络访问

阅读全文 »

Tomcat主要是提供Servlet/JSP容器,静态资源的处理速度以及Web服务管理功能方面不如其他专业的HTTP服务器,所以使用效率和性能更高二进制TCP传输协议ajp协议以供其他web服务器进行反向代理或者用于集群,而8009端口的ajp服务默认在公网开启,通过ajp协议可以控制request对象的某些Attribute属性从而造成webapps目录下的任意文件读取/包含

阅读全文 »

Shiro作为Java的一个安全框架,其中提供了登录时的RememberMe功能,让用户在浏览器关闭重新打开后依然能恢复之前的会话。而实现原理就是将储存用户身份的对象序列化并通过AES加密、base64编码储存在cookie中,只要能伪造cookie就能让服务器反序列化任意对象,而1.2.4版本及以下AES加密时采用的key是硬编码在代码中的,这就为伪造cookie提供了机会。只要rememberMe的AES加密密钥泄露,无论shiro是什么版本都会导致反序列化漏洞。

阅读全文 »

Shadowsocks是一个基于SOCKS5的代理软件,其主要用途就不用解释了, 其协议存在漏洞,可以通过重定向攻击解密shadowsocks数据包密文。以下总结参考自Zhiniang Peng的研究成果

阅读全文 »

FastJson是一个Java语言编写的高性能功能完善的JSON库,可以将数据在JSON和Java Object之间互相转换,涉及到序列化和反序列化的操作,由此从1.2.24版本便开始爆出反序列化漏洞

阅读全文 »

一开始是学习FastJson反序列化的POC,然后发现欠缺不少知识,遂来补一下,收获良多,总结下笔记

所谓JDK反序列化Gadgets就是不同于利用Apache-CommonsCollections这种外部库,而是只利用JDK自带的类所构造的

阅读全文 »

  搭了一下午博客,终于是弄好了。以前博客咕了半年,这次不巧遇见疫情,延迟一月开学,想来这个寒假前半部分都在划水(细想甚至这半年也貌似没怎么进步),究其原因还是自己有点浮躁了,但被迫宅家的这段日子发现能找回以前钻研问题那种单纯乐趣与满足,趁着这大好时间,换套系统,开始写写学习笔记,督促督促自己,早日脱离菜鸟行列!