老年人复健泛微注入漏洞全过程实录
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
已知漏洞情报:后端mssql库cityaction区块存在注入,类型为堆叠注入,文件路径为/mobilemode/Action.jsp ,情报真实性未知。我不知道各位大黑客看到这个情报会第一时间关注哪里,我反正是最后一句。考恁娘,还好给出了具体的文件路径,白盒,就算是假的也不至于浪费很多时间
引入string invoker字符常量,调用getParameter方法处理参数,往下接受invoker这个参数并去掉了字符串两侧空格,new string对象进行第一次base64编码,中间还检查了参数是否为空,防止了基于回显的空行二次注入。17到19行检查参数是否是编码后的com.开头,如果不是就会把字符串进行一次base64解码。看到这里代码很常规并且很严格。往下看登录部分,代码是先检查了一下是否登录,没登录直接抛异常。检查登录后使用Class.forName去加载invoker这个全路径类名,26行检查加载的类是否是BaseAction.class的派生类,若是则会调用execute_proxy方法,不是则抛出异常
根据大学多年日弄.class文件的经验直觉告诉我肯定是BaseAction会出问题的。堆叠注入大多数是的存在场景是mysql+php里使用了mysqli_multi_query这种函数,他的存在条件比较严格。在这按照默认结束符非法造成sql语句堆叠的思路能干啥,最开始想的是getter/setter循环注入边变形成堆叠,具体思路懒得讲了,最后百度一下发现BaseAction在填充属性之前肯定在其他路径下Exception的某级缓存,问gpt他日🐴就说了一堆要注意过滤严格检查参数类型这种又大又空的废话,但是百度也提醒了我BaseAction的派生类,脑壳痛,cpu有点转不动了,先上tg吹吹水
吹完回来看一下这个父类,有两个函数一个是getAction(),我记混了记成jsp里面赋值过后提交表单到某某url.jsp的意思了,当时我人就麻了,cnm,这玩意审一下还得一起看其他jsp文件啊你特么鲨了我算了吧,然后单位的🐶头军师听到我我搁那叫马上就过来帮忙看了,又查了一下资料最后才搞清楚他的作用其实是用来获取请求参数上的action的值,和后面这个execute_proxy()一起,代理方法调用execute()方法,这个execute_proxy()才是jsp页面中真正调用的方法,必然有子类,这下舒服了。跟进查找可以找到BaseMobileAction.class。这个B什么什么的class文件已经实现了execute方法,但是他还是抽象类(不是我平时群里说的那个抽象)他肯定还有他的子类。联系他的上下文,首先通过getAction()方法获取了请求action的值,然后是getDeclareMethods()获取了自身类所有的全部方法,遍历了每一个方法然后获取上面的注解,如果name值不为空则执行该方法并获取结果,加上情报里说明了是堆叠,所以就很清晰的知道……
知道恁🐴,我当时看到这里的时候还是一点思路没有,因为我一直想的是泛微被打了这么多次过后对数组遍历之前的字符过滤是很严格的,我是真的没特么想到citites参数双重url编码一下就能绕过了,异想天开了半天都想到java api去了。然后就是到点下班吃晚饭,出门没了两分钟像睡醒一样突然反应过来。最后我们产品怎么更新来防范的就不讲了,商业机密,免得你们几个byd日穿雷池
👍3
客观总结一下最近的状态
java和php的老底虽然在,但是反应明显不如之前快了,很多东西记不到,记不到还好可以搜,就怕记错在那忙活半天
对框架理解有点过时了,很多时候对于waf这些安全产品和框架本身代码规范的这个平衡的感觉有偏差,可能是卖产品卖多了广告词把自己都骗到了
玩雷池玩多了,脑子里对于注入这些的认识往语义研判预判这种混沌方向过度发展,很多基本手法的最新运用反而没有关注,比如这个堆叠,这个url编码,朴实无华就这么简单,没有那些花里胡哨的搞法但人家就是有用
懒,经常搞到一半就看手机走神,一件事情可以拖一整天拖到最后才做。当然除了我本人的问题之外我感觉和我上班时间也有关系,十点半才下班老是想着反正都还有这么久的工作时间不如先摸鱼
戒色,真的要戒色,男生更是,色字头上一把刀,真的影响状态,还有熬夜,整个人虽然没有明显症状但从早上起来就觉得累,白天人都是死绵绵的👿
java和php的老底虽然在,但是反应明显不如之前快了,很多东西记不到,记不到还好可以搜,就怕记错在那忙活半天
对框架理解有点过时了,很多时候对于waf这些安全产品和框架本身代码规范的这个平衡的感觉有偏差,可能是卖产品卖多了广告词把自己都骗到了
玩雷池玩多了,脑子里对于注入这些的认识往语义研判预判这种混沌方向过度发展,很多基本手法的最新运用反而没有关注,比如这个堆叠,这个url编码,朴实无华就这么简单,没有那些花里胡哨的搞法但人家就是有用
懒,经常搞到一半就看手机走神,一件事情可以拖一整天拖到最后才做。当然除了我本人的问题之外我感觉和我上班时间也有关系,十点半才下班老是想着反正都还有这么久的工作时间不如先摸鱼
戒色,真的要戒色,男生更是,色字头上一把刀,真的影响状态,还有熬夜,整个人虽然没有明显症状但从早上起来就觉得累,白天人都是死绵绵的👿
🐳4👍2
【【陈鑫杰】聊聊 APT27 网 空 行 动 | 杰哥说安全-哔哩哔哩】 https://b23.tv/7zGGqlU
Bilibili
【陈鑫杰】聊聊 APT27 网 空 行 动 | 杰哥说安全_哔哩哔哩_bilibili
聊聊 APT 27 网 空 行 动, 视频播放量 8071、弹幕量 19、点赞数 422、投硬币枚数 55、收藏人数 84、转发人数 26, 视频作者 拼客学院陈鑫杰, 作者简介 为国家网络安全事业而奋斗!合作请加助理tangtangbzr-长期招募伙伴-案件线索-威胁情报-安全教育-安全服务 ,相关视频:【陈鑫杰】网络安全入门难?可能你没遇到TA!,【从入门到入狱】600集暗网黑客技术教程,只要你敢学我就敢教!零基础学习网络安全渗透测试技术,day17-log4j+fastjson,【密码爆破】黑…