JBoss\WildFly remoting3协议反序列化分析

前言

前段时间分析了JBoss 3873和4446端口下的反序列化,受影响的版本最晚已经是2011年发布的,而JBoss EAP 6.X及WildFly\JBoss AS 7.X等后续版本,它们反序列化相关的CVE就很少了。归根结底,是因为以上所说的后续版本弃用了原来的Remoting2协议,启用了Remoting3协议。本文以Remoting3的反序列化相关问题展开分析。

Confluence OGNL表达式注入分析(CVE-2022-26134)

前言

Atlassian Confluence是企业广泛使用的wiki系统。2022年6月2日Atlassian官方发布了一则安全更新, Confluence上存在一个严重的未经身份验证的远程代码执行漏洞。OGNL注入漏洞允许未经身份验证的用户在Confluence Server或Data Center实例上执行任意代码。

JBoss remoting2协议及其反序列化分析

前言

前段时间读了@Y4ar师傅分析JBoss的文章和《A little bit beyong \xAC\xED》的原文,起初简单的看下,以为是普通的反序列漏洞,后面经过分析才察觉是关于JBoss的Remoting2协议的漏洞。本文以JBoss AS 6.1.0.Final为例,主要分析与@Y4ar师傅稍有不同的一种反序列化触发方式。

惊回晓梦忆秋娟

惊回晓梦,鹤唳声声,又声声寒角吹遍江城,隔岸蒹葭人寂静,废池乔木也厌言兵,昨夜醉乡难酩酊,今朝歧路未分明,樊川落魄悲同命,情到深时一死轻,重还有 约但系期无定,又怕赢得青楼薄幸名,辗转思量心自省,都系文章负我我负卿卿,估话钟鼎山林虽则皆幻影,有个风尘知已不负我生平,怎想两月绸缪如画饼,只换得一船离恨独对数峰青,正系素愿空留明珠侍聘,柔丝自缚慧剑无灵,韶华如梦终须认,争教红泪不成冰,你愿化蝶相寻但系谁为引领,你都未知何处我又要登程。

征途昼永,我又倚蓬搵,你睇荒村黄叶又近重阳,记得去年今日尚作非非想,想话神仙唔愿愿做鸳鸯,水暖春江同荡漾,不管人间离合世态炎凉,只要患难相扶欢愉共享,生时成对死亦成双,我话系前世姻缘你话系冤孽账,只怨奴奴生错一副软心肠,怕我太过多情会容易别向,遇着浮花浪蕊又话怜香,我愿忏悔往日疏狂重求你 见谅,你种真情真义令我没齿也难忘,只望青云有路人无恙,有日荣归衣锦报答红妆,个阵翠绕珠围不复当年个样,枝头飞上等你气吐名扬,今日相守都唔未能重存乜野奢望,我亦寒枝拣尽鬓染秋霜,但愿名花有主早日除魔障,愿你早日除魔障,更愿交还恩爱去礼空王。

飘零去,你都莫问前因,只见半山残照一个愁人,去路茫茫不禁悲来阵阵,前尘惘惘惹我泪落纷纷,仍是念念不忘心相印,尚有几回肠断几度销云,本想学投笔从戎图发奋,却被儒冠误了我有志难伸,想学一棹五湖同遁隐,却被妖纷笼遍远无垠,想学飞蛾破茧不复情丝困,却被一灯红焰又焚身,正系了得相思难了恨,梦来何处更为云,重讲乜石烂海枯情不泯,就算重逢有日已是负义忘恩,今日倚楼人远天涯近,呢件青衫曾染我地话别啼痕,襟前有两瓣系你唇脂晕,几度雨淋日晒而家都认唔真,你睇沉沉暮霭西风紧,南飞北雁怕向客中闻,平安未报自问心何忍,空余泪眼望断黄昏,又听得疏钟几杵好似来相引,引我都菩提树下莫恋红尘,草际秋虫声渐哽,只见隔林一点佛前灯,佛相庄严灯又暗,愧我殉情割爱两无能,虽则我佛慈悲都系难恕薄幸,甘为羁旅了却残生,世间何物堪酬赠,心耿耿,从此飘萍和断梗,能许深情默约句句都无凭。

JVM Shellcode注入探索

前言

随着RASP技术的发展,普通webshell已经很难有用武之地,甚至是各种内存马也逐渐捉襟见肘。秉承着《JSP Webshell那些事——攻击篇(上)》中向下走的思路,存不存在一种在Java代码中执行机器码的方法呢?答案是肯定的,常见的注入方式有JNI、JNA和利用JDK自带的Native方法等,其中笔者还找到了一种鲜有文章介绍的,基于HotSpot虚拟机,且较为通用的注入方法。

Java RMI攻击分析与总结

RMI简介

Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。它是由注册中心、服务端和客户端三部分组成。

  • 注册中心

    作为存储远程方法的代理对象的仓库。

  • 服务端

    暴露远程对象,并将其代理对象注册进 RMI Registry。一个代理对象在服务端中包含一个skeleton对象,用于接受来自stub对象的调用。

  • 客户端

    查找远程代理对象,远程调用服务对象。一个代理对象在调用该远程对象的客户端上包含一个stub对象,负责调用参数和返回值的序列化、打包解包,以及网络层的通讯过程。

log4j漏洞分析

前言

2021 年 12 月 10 日,Apache发布了其 Log4j 框架的 2.15.0 版,其中包括对 CVE-2021-44228 的修复,这是一个影响 Apache Log4j 2.14.1 及更早版本的关键 (CVSSv3 10) 远程代码执行 (RCE) 漏洞。该漏洞存在于 Log4j 处理器处理特制日志消息的方式中。不可信的字符串(例如,来自输入文本字段的字符串,例如 Web 应用程序搜索框)包含的内容${jndi:ldap://example.com/a},如果启用了消息查找替换,将触发远程类加载、消息查找和相关内容的执行。成功利用 CVE-2021-44228 可以让未经身份验证的远程攻击者完全控制易受攻击的目标系统。

fastjson不出网利用简析

前言

又来炒冷饭啦,做项目终于遇到个fastjson反序列化,但又不想贡献自己的VPS出来搭个JNDI,于是网上找个POC试了下。Duang的一下竟然成功了,执行命令还有回显,有点意思啊,于是开始炒冷饭了。

fastjson反序列化漏洞学习

前言

fastjson反序列化,JAVA安全绕不过的坎。

Confluence模板注入(CVE-2020-4027)复现

前言

前段时间,涛哥安排了个Confluence站点的测试,网上搜了下存在模板注入可导致命令执行,编号CVE-2020-4027。网上没有复现的文章,直到要交报告了还是没成功执行命令,只能交个模板注入导致文件读取悻悻而归。这件事如鲠在喉,于是抽空搭个环境复现了下。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×