渗透测试对Java架构网站漏洞检测方法
近期对平台安全渗透测试中遇到有java+mysql架构的网站,针对此架构我们sine安全渗透工程师整理了下具体的漏洞检测方法和防护修复方法,很多像执行框架漏洞获取到系统权限,以及跨权限写入木马后门等等操作,希望大家在渗透测试的道路中发现更多的知识和经验。
4.2.1. 格式化字符串
在python中,有两种格式化字符串的方式,在python2的较低版本中,格式化字符串的方式为 "this is a %s" % "test" ,之后增加了format的方式, 语法为 "this is a {}".format('test') 或者 "this is a {test}".format(test='test')
当格式化字符串由用户输入时,则可能会造成一些问题,下面是一个最简单的例子
>>> 'class of {0} is {0.__class__}'.format(42)
"class of 42 is "
从上面这个简单的例子不难知道,当我们可以控制要format的字符串时,则可以使用 __init__ / __globals__ 等属性读取一些比较敏感的值,甚至任意执行代码。
4.2.2. 反序列化
4.2.2.1. pickle
>>> class a(object):
... a = 1
... b = 2
... def __reduce__(self):
... return (subprocess.popen, (('cmd.exe',),))
>>> cpickle.dumps(a())
"csubprocess\npopen\np1\n((s'cmd.exe'\np2\ntp3\ntp4\nrp5\n."
4.2.2.2. 其他
pyyaml
marshal
shelve
4.2.3. 沙箱
4.2.3.1. 常用函数
eval / exec / compile
dir / type
globals / locals / vars
getattr / setattr
4.2.3.2. 绕过
最简单的思路是在已有的模块中import,如果那个模块中已经 import 可以利用的模块就可以使用了
在父类中寻找可用的模块,最常见payload是 ().__class__.__bases__[0].__subclasses__() 或者用魔术方法获取全局作用域 __init__.__func__.__globals__
有些网站没有过滤 pickle 模块,可以使用 pickle 实现任意代码执行,生成 payload 可以使用
有的沙箱把相关的模块代码都被删除了,则可以使用libc中的函数,python 中调用一般可以使用 ctypes 或者 cffi。
"a""b" == "ab"
4.2.3.3. 防御
python官方给出了一些防御的建议
使用jython并尝试使用java平台来锁定程序的权限
使用fakeroot来避免
使用一些rootjail的技术
4.2.4. 框架
4.2.4.1. django
4.2.4.1.1. 历史漏洞
cve-2016-7401 csrf bypass
cve-2017-7233/7234 open redirect vulnerability
cve-2017-12794 debug page xss
4.2.4.1.2. 配置相关
nginx 在为 django 做反向代理时,静态文件目录配置错误会导致源码泄露。访问 /static.. 会 301 重定向到 /static../
4.2.4.2. flask
flask默认使用客户端session,使得session可以被伪造
4.2.5. 危险函数 / 模块列表
4.2.5.1. 命令执行
os.popen
os.system
os.spawn
os.fork
os.exec
popen2
commands
subprocess
exec
execfile
eval
timeit.sys
timeit.timeit
platform.os
platform.sys
platform.
popen
pty.spawn
pty.os
bdb.os
cgi.sys
…
4.2.5.2. 危险第三方库
template
subprocess32
4.2.5.3. 反序列化
marshal
pyyaml
pickle
cpickle
shelve
pil
java
4.3.1. 基本概念
jvm是java平台的核心,以机器代码来实现,为程序执行提供了所需的所有基本功能,例如字节码解析器、jit编译器、垃圾收集器等。由于它是机器代码实现的,其同样受到二进制文件受到的攻击。
jcl是jvm自带的一个标准库,含有数百个系统类。默认情况下,所有系统类都是可信任的,且拥有所有的特权。
4.3.1.2. jndi
jndi(java naming and directory interface,java命名和目录接口)是为java应用程序提供命名和目录访问服务的api(application programing interface,应用程序编程接口)。
4.3.1.3. ognl
ognl(object-graph navigation language,对象导航语言)是一种功能强大的表达式语言,通过简单一致的表达式语法,提供了存取对象的任意属性、调用对象的方法、遍历整个对象的结构图、实现字段类型转化等功能。
struts2中使用了ognl,提供了一个valuestack类。valuestack分为root和context两部分。root中是当前的action对象,context中是actioncontext里面所有的内容。
4.3.1.4. rmi
rmi(remote method invocation,远程方法调用)能够让在客户端java虚拟机上的对象像调用本地对象一样调用服务端java虚拟机中的对象上的方法。
rmi远程调用步骤:
客户调用客户端辅助对象stub上的方法
客户端辅助对象stub打包调用信息(变量,方法名),通过网络发送给服务端辅助对象skeleton
服务端辅助对象skeleton将客户端辅助对象发送来的信息解包,找出真正被调用的方法以及该方法所在对象
调用真正服务对象上的真正方法,并将结果返回给服务端辅助对象skeleton
服务端辅助对象将结果打包,发送给客户端辅助对象stub
客户端辅助对象将返回值解包,返回给调用者
客户获得返回值
4.3.2. 框架
4.3.2.1. servlet
4.3.2.1.1. 简介
servlet(server applet)是java servlet的简称,称为小服务程序或服务连接器,是用java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态web内容。
狭义的servlet是指java语言实现的一个接口,广义的servlet是指任何实现了这个servlet接口的类,一般情况下,人们将servlet理解为后者。servlet运行于支持java的应用服务器中。从原理上讲,servlet可以响应任何类型的请求,但绝大多数情况下servlet只用来扩展基于http协议的web服务器。
4.3.2.1.2. 生命周期为
客户端请求该 servlet
加载 servlet 类到内存
实例化并调用init()方法初始化该
servlet service()(根据请求方法不同调用 doget() / dopost() / … / destroy()
4.3.2.1.3. 接口
init()
在 servlet 的生命期中,仅执行一次 init() 方法,在服务器装入 servlet 时执行。
service()
service() 方法是 servlet 的核心。每当一个客户请求一个httpservlet对象,该对象的 service() 方法就要被调用,而且传递给这个方法一个”请求”(servletrequest)对象和一个”响应”(servletresponse)对象作为参数。
4.3.2.2. struts 2
4.3.2.2.1. 简介
struts2是一个基于mvc设计模式的web应用框架,它本质上相当于一个servlet,在mvc设计模式中,struts2作为控制器(controller)来建立模型与视图的数据交互。
4.3.2.2.2. 请求流程
客户端发送请求的tomcat服务器
请求经过一系列过滤器
filterdispatcher调用actionmapper来决定这个请求是否要调用某个action
actionmppaer决定调用某个actionfilterdispatcher把请求给actionproxy
actionproxy通过configuration manager查看structs.xml,找到对应的action类
actionproxy创建一个actioninvocation对象
actioninvocation对象回调action的execute方法
action执行完毕后,actioninvocation根据返回的字符串,找到相应的result,通过httpservletresponse返回给服务器
4.3.2.2.3. 相关cve
cve-2016-3081 (s2-032)
cve-2016-3687 (s2-033)
cve-2016-4438 (s2-037)
cve-2017-5638
cve-2017-7672
cve-2017-9787
cve-2017-9793
cve-2017-9804
cve-2017-9805
cve-2017-12611
cve-2017-15707
cve-2018-1327
cve-2018-11776
4.3.2.3. spring mvc
4.3.2.3.1. 请求流程
用户发送请求给服务器
服务器收到请求,使用dispatchservlet处理
dispatch使用handlemapping检查url是否有对应的controller,如果有,执行
如果controller返回字符串,viewresolver将字符串转换成相应的视图对象
dispatchservlet将视图对象中的数据,输出给服务器 服务器将
数据输出给客户端
4.3.3. 容器
常见的java服务器有tomcat、weblogic、jboss、glassfish、jetty、resin、ibm websphere等,这里对部分框架做一个简单的说明。
4.3.3.1. tomcat
tomcat是一个轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,用于开发和调试jsp程序。
在收到请求后,tomcat的处理流程如下:
客户端访问web服务器,发送http请求
web服务器接收到请求后,传递给servlet容器
servlet容器加载servlet,产生servlet实例后,向其传递表示请求和响应的对象
servlet实例使用请求对象得到客户端的请求信息,然后进行相应的处理
servlet实例将处理结果通过响应对象发送回客户端,容器负责确保响应正确送出,同时将控制返回给web服务器
tomcat服务器是由一系列可配置的组件构成的,其中核心组件是catalina servlet容器,它是所有其他tomcat组件的顶层容器。
4.3.3.1.1. 相关cve
cve-2019-0232
cve-2017-12615
cve-2013-2067
cve-2012-4534
cve-2012-4431
cve-2012-3546
cve-2012-3544
cve-2012-2733
cve-2011-3375
cve-2011-3190
cve-2008-2938
4.3.3.2. weblogic
4.3.3.2.1. 简介
weblogic是美国oracle公司出品的一个application server,是一个基于java ee架构的中间件,weblogic是用于开发、集成、部署和管理大型分布式web应用、网络应用和数据库应用的java应用服务器。其将java的动态功能和java enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
weblogic对业内多种标准的全面支持,包括ejb、jsp、servlet、jms、jdbc等。
4.3.3.2.2. 相关cve
cve-2019-2658
cve-2019-2650
cve-2019-2649
cve-2019-2648
cve-2019-2647
cve-2019-2646
cve-2019-2645
cve-2019-2618
cve-2019-2615
cve-2019-2568
cve-2018-3252
cve-2018-3248
cve-2018-3245
cve-2018-3201
cve-2018-3197
cve-2018-3191
cve-2018-1258
cve-2017-10271
cve-2017-3248
cve-2016-3510
cve-2015-4852
4.3.3.3. jboss
4.3.3.3.1. 简介
jboss是一个基于j2ee的管理ejb的容器和服务器,但jboss核心服务不包括支持servlet/jsp的web容器,一般与tomcat或jetty绑定使用。
4.3.3.3.2. 相关cve
cve-2017-12149
4.3.4. 沙箱
4.3.4.1. 简介
java实现了一套沙箱环境,使远程的非可信代码只能在受限的环境下执行。
4.3.4.2. 相关cve
cve-2012-0507
cve-2012-4681
cve-2017-3272
cve-2017-3289
4.3.5. 反序列化
4.3.5.1. 简介
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。java中的 objectoutputstream 类的 writeobject() 方法可以实现序列化,类 objectinputstream类的readobject() 方法用于反序列化。
如果要实现类的反序列化,则是对其实现 serializable 接口。
4.3.5.2. 序列数据结构
0xaced 魔术头
4.3.5.3. 序列化流程
objectoutputstream实例初始化时,将魔术头和版本号写入bout (blockdataoutputstream类型) 中
调用objectoutputstream.writeobject()开始写对象数据
○objectstreamclass.lookup()封装待序列化的类描述 (返回objectstreamclass类型) ,获取包括类名、自定义serialversionuid、可序列化字段 (返回objectstreamfield类型) 和构造方法,以及writeobject、readobject方法等
○writeordinaryobject()写入对象数据
■写入对象类型标识
■writeclassdesc()进入分支writenonproxydesc()写入类描述数据
写入类描述符标识
写入类名
写入suid (当suid为空时,会进行计算并赋值)
计算并写入序列化属性标志位
写入字段信息数据
写入block data结束标识
写入父类描述数据
■writeserialdata()写入对象的序列化数据
若类自定义了writeobject(),则调用该方法写对象,否则调用defaultwritefields()写入对象的字段数据 (若是非原始类型,则递归处理子对象)
4.3.5.4. 反序列化流程
objectinputstream实例初始化时,读取魔术头和版本号进行校验
调用objectinputstream.readobject()开始读对象数据
○读取对象类型标识
○readordinaryobject()读取数据对象
■readclassdesc()读取类描述数据
读取类描述符标识,进入分支readnonproxydesc()
读取类名
读取suid
读取并分解序列化属性标志位
读取字段信息数据
resolveclass()根据类名获取待反序列化的类的class对象,如果获取失败,则抛出classnotfoundexception
skipcustomdata()循环读取字节直到block data结束标识为止 读取父类描述数据
initnonproxy()中判断对象与本地对象的suid和类名 (不含包名) 是否相同,若不同,则抛出invalidclassexception
objectstreamclass.newinstance()获取并调用离对象最近的非■serializable的父类的无参构造方法 (若不存在,则返回null) 创建对象实例
■readserialdata()读取对象的序列化数据
若类自定义了readobject(),则调用该方法读对象,否则调用defaultreadfields()读取并填充对象的字段数据
4.3.5.5. 相关函数
objectinputstream.readobject
objectinputstream.readunshared
xmldecoder.readobject
yaml.load
xstream.fromxml
objectmapper.readvalue
json.parseobject
4.3.5.6. 主流json库
4.3.5.6.1. gson
gson默认只能反序列化基本类型,如果是复杂类型,需要程序员实现反序列化机制,相对比较安全。
4.3.5.6.2. jackson
除非指明@jsonautodetect,jackson不会反序列化非public属性。在防御时,可以不使用enabledefaulttyping方法。
相关cve有
cve-2017-7525
cve-2017-15095
4.3.5.6.3. fastjson
相关cve有
cve-2017-18349
4.3.5.7. 存在危险的基础库
commons-fileupload 1.3.1
commons-io 2.4
commons-collections 3.1
commons-logging 1.2
commons-beanutils 1.9.2
org.slf4j:slf4j-api 1.7.21
com.mchange:mchange-commons-java 0.2.11
org.apache.commons:commons-collections 4.0
com.mchange:c3p0 0.9.5.2
org.beanshell:bsh 2.0b5
org.codehaus.groovy:groovy 2.3.9
org.springframework:spring-aop 4.1.4.release
4.3.5.8. 网站漏洞修复和防护
4.3.5.8.1. hook resolveclass
在使用 readobject() 反序列化时会调用 resolveclass 方法读取反序列化的类名,可以通过hook该方法来校验反序列化的类,一个demo如下
以上的demo就只允许序列化 serialobject ,通过这种方式,就可以设置允许序列化的白名单
4.3.5.8.2. validatingobjectinputstream
apache commons io serialization包中的 validatingobjectinputstream 类提供了 accept 方法,可以通过该方法来实现反序列化类白/黑名单控制,一个demo如下
4.3.5.8.3. objectinputfilter
java 9提供了支持序列化数据过滤的新特性,可以继承 java.io.objectinputfilter 类重写 checkinput方法来实现自定义的过滤器,并使用 objectinputstream 对象的 setobjectinputfilter 设置过滤器来实现反序列化类白/黑名单控制,对java漏洞渗透测试有想进一步了解的可以咨询专业的网站安全公司,国内推荐sinesafe,绿盟,启明星辰等等专业的安全维护公司。