l3yx's blog

通达 OA 存在认证绕过漏洞，由外部可控的参数可登录任意用户

Weblogic IIOP协议默认开启，跟T3协议一起监听在7001端口，这次漏洞主要原因是错误的过滤JtaTransactionManager类，JtaTransactionManager父类AbstractPlatformTransactionManager在之前的补丁里面就加入到黑名单列表了，T3协议使用的是resolveClass方法去过滤，resolveClass方法是会读取父类的，所以T3协议这样过滤没问题。但是IIOP协议这块虽然也是使用的这个黑名单列表，但不是使用resolveClass方法去判断，默认只会判断本类的类名，而JtaTransactionManager类不在黑名单列表里面并且存在jndi注入

前两天见有同学写QQ机器人用于每天代为疫情打卡，感觉是挺方便的，但有违学校规定，后被迫停止了，遂自己写了脚本挂服务器，然后感觉这个机器人挺有趣，小小研究了下

该漏洞存在于spring-tx.jar包的org.springframework.transaction.jta.JtaTransactionManager类，该类实现了Java Transaction API，主要功能是处理分布式的事务管理，其重写了readObject方法，导致反序列化时该类时产生JNDI注入的问题从而RCE。但并不是spring最基本的包，默认不使用，所以并不是所有使用了spring框架的应用都受影响，需要具体检查是否包含了spring-tx.jar包

最近在学习几位师傅研究的Java Web代码执行漏洞下的回显方式，收获很多，能力有限，此文也没有什么新的思路，仅当个人学习笔记

在java漏洞利用中经常出现获取不到执行结果的情况，之前常见的方法即通过报错回显，OOB等，但在国内环境下大多数情况下都限制了对外的网络访问

Tomcat主要是提供Servlet/JSP容器，静态资源的处理速度以及Web服务管理功能方面不如其他专业的HTTP服务器，所以使用效率和性能更高二进制TCP传输协议ajp协议以供其他web服务器进行反向代理或者用于集群，而8009端口的ajp服务默认在公网开启，通过ajp协议可以控制request对象的某些Attribute属性从而造成webapps目录下的任意文件读取/包含

Shiro作为Java的一个安全框架，其中提供了登录时的RememberMe功能，让用户在浏览器关闭重新打开后依然能恢复之前的会话。而实现原理就是将储存用户身份的对象序列化并通过AES加密、base64编码储存在cookie中，只要能伪造cookie就能让服务器反序列化任意对象，而1.2.4版本及以下AES加密时采用的key是硬编码在代码中的，这就为伪造cookie提供了机会。只要rememberMe的AES加密密钥泄露，无论shiro是什么版本都会导致反序列化漏洞。

Shadowsocks是一个基于SOCKS5的代理软件，其主要用途就不用解释了， 其协议存在漏洞，可以通过重定向攻击解密shadowsocks数据包密文。以下总结参考自Zhiniang Peng的研究成果

FastJson是一个Java语言编写的高性能功能完善的JSON库，可以将数据在JSON和Java Object之间互相转换，涉及到序列化和反序列化的操作，由此从1.2.24版本便开始爆出反序列化漏洞

一开始是学习FastJson反序列化的POC，然后发现欠缺不少知识，遂来补一下，收获良多，总结下笔记

所谓JDK反序列化Gadgets就是不同于利用Apache-CommonsCollections这种外部库，而是只利用JDK自带的类所构造的