戴着镣铐跳舞-记一次java反序列化极端利用

Apache Flink最近有师傅披露了一个漏洞，可以调用任意类的main方法，不过在披露中所利用到的类只有在jdk11以上才存在。这时我考虑的是，我们常见的jdk8种能否找到利用类。经过寻找后找到了com.sun.org.apache.xalan.internal.xsltc.cmdline.Compile的main方法，这个方法可以把xslt编译成class，让我想到了之前爆出来的CVE-2022-34169。这个漏洞可以是apache xalan在把xslt转换成class的时候存在溢出(使用的类是:org.apache.xalan.xslt.Process)，导致攻击者可以上传精心构造的恶意xslt，通过xalan转换后得到恶意的class，这个过程中，恶意的class会被实例化导致代码执行。通过一系列实践后我发现com.sun.org.apache.xalan.internal.xsltc.cmdline.Compile转换xslt和apache xalan是类似的，不过不同的是他没有实例化过程导致无法执行代码，虽然Flink这个漏洞利用没戏了，不过在这个中学习到了通过溢出来制作恶意class文件的技巧，还是收益匪浅的。后面又观察了一下，发现jdk中也有xalan的这个类(com.sun.org.apache.xalan.internal.xslt.Process)，同样也是和apache xalan一样也会溢出。我在使用thanat0s师傅在文章中使用的exp复现时，发现apache xalan确实可以成功的弹出计算器，不过我在使用jdk xalan时，生成的class是损坏的，当然也无法弹出计算器。因为实战中还是见到过jdk xalan解析xslt的代码的，为了方便以后遇到了直接能利用，所以准备把我把apache xalan的payload改造成jdk xalan的payload的过程记录下来。

more >>

展开全文 >>

关于金格组件上传绕waf的tips

2022-09-05

前言

一次项目实战遇到了金格文件上传的漏洞，漏洞点存在，不过数据包被waf拦截了。本文主要介绍实战绕过这次waf的过程。

more >>

展开全文 >>

Springboot-Eureka的Xstream反序列化如何注入内存马

2022-03-12

前言

一个朋友问我他在springboot Eureka的xstream漏洞的条件下，使用Powercat这个powershell工具反弹windows的shell失败了，问我有没有解决方案。我看到这个问题的第一反应就是，xstream为何不打内存马呢。首先搜索了网上的exp和利用工具，都是通过ProcessBuilder执行命令的。这种做法其实在实战中不妥，因为springboot无法植入文件webshell。要想命令得到回显，要么反弹shell，要么上线c2。前者容易被检测到，后者需要考虑文件下载免杀的问题。都不是非常成熟。实战中，内存马才是王道！

more >>

展开全文 >>