记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

STRUTS2框架的getClassLoader漏洞利用

摘要:2012年,我在《攻击JAVA WEB》,文中提多关于“classLoader导致特定环境下的DOS漏洞”,当时并没有更加深入的说明,这几天struts官方修补了这个漏洞,本文是对这个漏洞的深入研究。正文:这一切,得从我们控制了classLoader说起,曾经写过一篇文章,提到了一个小小的技术细节,非常不起眼的一个鸡肋。引用《Spring framework(cve-2010-1622)漏洞利用指南》:—Struts2其实也本该是个导致远程代码执行漏洞才对,只是因为它的字段映射问题,只映射基础类型,默认不负责映射其他类型,所以当攻击者直接提交URLs[0]=xxx时,直接爆字段类型转换错误,结果才侥幸逃过一劫罢了。—     tomcat8.0出来后,这个问题爆发了,这是一个鸡肋漏
发布时间:2014-03-14 21:05 | 阅读:125939 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 classLoader getClassLoader j

STRUTS2最近量产漏洞分析(2013-6)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity可能是由于沟通问题,导致struts2官方对我提交的S2-012漏洞名称理解错误,漏洞描述为struts2的某个示例应用出现漏洞,但是struts2是按照框架出现漏洞修补的。而这个s2-012竟然引发了一连串血案。其实发这篇文章,我非常恼火,任谁手里有一个0day,捂了半天,结果又被别人公开,都会非常恼火。去年我在XCON发布的S2-012漏洞,其实struts2还存在相似的漏洞。在struts中,框架接收到的用户输入,除了参数、值以外,还有其他地方,比如文件名。这个漏洞,是struts2对url中的文件名做了解析,导致的ognl代码执行。这中间存在一些技术细节,下面展开分析。enabl
发布时间:2013-06-07 01:35 | 阅读:98758 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 ognl struts 漏洞

利用hadoop做分布式暴力破解(OWASP杭州2013年春季WEB应用安全沙龙)

我在OWASP杭州2013年春季WEB应用安全沙龙讲了一个议题。http://www.owasp.org.cn/OWASP_Events/20130525《使用hadoop做分布式暴力破解》内容简介: 花大量时间讲了一下阿里的hadoop有多牛逼,最后我在上面执行了一条SQL。http://www.owasp.org.cn/OWASP_Events/Hadoop.zip阿里安全团队正在校招,请自行寻找投递方式,只要过了阿里的面试,你也有机会也在上面执行一条SQL。ps:看到casperkid(http://hi.baidu.com/casperkid)在用Prezi做一个演讲稿,比PPT帅很多,我特意去学习下,所以大家这次拿到的不是ppt,是exe。
发布时间:2013-05-27 15:51 | 阅读:86840 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 hadoop 暴力破解

struts2 s2-013补丁

我服了struts2的官方人员,他们升级新的版本,我从源码上做文件对比,代码没有做任何变化。看来我让大家等补丁,是坑了大家。疑似struts2的开发人员粗心,没把新版本更新,只是发布了版本号。发个临时补丁给大家顶一下吧。替换package org.apache.struts2.views.util.DefaultUrlHelper这个类的代码// /**// * 老的这部分代码注释掉// */// private String translateVariable(String input) {// ValueStack valueStack = ServletActionContext.getContext().getValueStack();// ret
发布时间:2013-05-23 21:10 | 阅读:82237 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 struts2

Struts2远程代码执行漏洞分析(S2-013)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要Apache官方的struts2产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是0DAY,官方没有修补方案出现。http://struts.apache.org/development/2.x/docs/security-bulletins.html — (公告)官方安全公告给出了编号和简要介绍,“A vulnerability, present in the includeParams attribute of the URL and Anchor Tag, allows remote command execution”。但是并没有说原理,也没有发布任
发布时间:2013-05-22 00:05 | 阅读:85932 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 漏洞

利用系统时间可预测破解java随机数

By kxlzx http://www.inbreak.net/摘要:这是一个随机函数破解的经典例子。在java程序中,获取随机数的做法有多种。但是我们实现一个随机token,并用于认证时,通常第一时间,想起来使用“System.currentTimeMillis”,本文会详细讲解一次破解随机数的经过。正文:“System.currentTimeMillis”这个方法,返回从UTC 1970年1月1日午夜开始经过的毫秒数。执行结果,可能是类似“1315395175327”这样的数字,因为后面的几位,是毫秒,所以执行结果就好像“随机”一样。今天遇到的一个系统,相关业务逻辑场景,是用于找回密码。首先要求用户输入自己的邮箱,系统算出来一个token,发给用户邮箱,让用户使用token,执行修改密码的这一步。1、输入邮
发布时间:2013-01-09 03:30 | 阅读:105272 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 心情日记

Spring framework(cve-2010-1622)漏洞利用指南

By 空虚浪子心 http://www.inbreak.net/ @javasecurity http://t.qq.com/javasecurity摘要这个漏洞在2010年出的,当时由于环境问题,并没有找到稳定利用的EXP。作者对spring mvc框架不熟悉,很多地方不了解,结果研究了一半,证明了漏洞的部分严重性就放下了,没有弄出POC来。最近同事也想研究下,勾起了研究兴趣,结果运气爆发,解决了当年没有搞定的N多问题和错误,这才终于让服务器上的CALC跑起来。当然,本文不会提供POC,只是对官方的POC分析一下,以及告诉大家怎么写自己想要的EXP,本文不会提供黑客工具,只讨论技术。正文这个漏洞其实有两种玩法,一种是拒绝服务,一种是远程代码执行,其中还隐藏着一些其他技术内幕。我们先从拒绝服务讲起,漏洞
发布时间:2013-01-09 03:30 | 阅读:120321 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章

SAE云服务安全沙箱绕过

By kxlzx http://www.inbreak.net 微博:http://t.qq.com/javasecurityps:此漏洞,新浪已修复。摘要新浪有云服务(SAE),提供PHP、JAVA等环境,供用户搭建网站,用户都在同一个云上,为了防止恶意用户在云上面DDOS,旁注黑掉其他云用户什么的,所以必须做安全限制,至少不允许用户调用某些关键函数。java对这种需求,有完美解决方案的,提供安全沙盒,有了安全沙盒,就限制了很多函数。但是java也有出漏洞的时候,今年新出了漏洞CVE20120507,绕过安全JAVA沙箱,新闻上讲,这个漏洞被用来黑苹果电脑。这个漏洞相关的技术,老外有分析文,国内也有分析文,虽然作者还是抱有疑问,但是并没有深究,所以原理方面的东西,就不献丑了。本文的目的,是把这个漏洞换个场景利
发布时间:2013-01-09 03:30 | 阅读:93996 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过2(利用crackClassLoader)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要绕过安全沙盒技术,并非只有使用java漏洞才能做。在作者的文章《SAE云服务安全沙箱绕过》(http://www.inbreak.net/archives/389)中提到了一种使用java沙盒漏洞,绕过沙盒的例子。事实上,bypass了SAE沙盒后,作者把目标已经换成了GAE,但是这是很郁闷的,google跟一块铁板似的,作者想了很多办法,都没有搞定它。然而回头一看,作者使用的部分技术,完全是可以再次bypass新浪sae的,处于这种心态,作者这次利用sae开发人员的沙盒设置失误,又一次bypass了sae沙盒。(此漏洞新浪已修补)正文查看沙盒环境来到一个沙盒,首先要看看环境,我们放
发布时间:2013-01-09 03:30 | 阅读:101075 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过3(绕过命令执行防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,经过努力,作者已经打到了第三关,这一关叫做“命令执行关”。也不知道是因为作者描述不清楚,还是SAE的理解出现偏差,我们没有直接沟通过,只是作者写篇文章,先交给那边“审核”,“审核”通过后,才发布了,所有的交流,都仅限于文章本身。这种沟通的障碍,是此次绕过安全防御的起始。在作者的第二关:《SAE云服务安全沙箱绕过2(利用crackClassLoader)》(http://www.inbreak.net/archives/411)一文中,提到利用crackClassLoader,绕过java安全沙箱的例子,文末作者以一个命令的成功执行结尾,并且使用cat命令,打出了其他云用户
发布时间:2013-01-09 03:30 | 阅读:121813 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过4(绕过文件权限防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,已经打到第四关了。经过几次交流,发现SAE的童鞋对安全很重视,而且持“欢迎来搞”的态度,对这样的态度,给予肯定,有了这样的态度,作者才有了继续下去的欲望,我们都相信SAE最终会变得越来越安全。正文前文《SAE云服务安全沙箱绕过3(绕过命令执行防御)》(http://www.inbreak.net/archives/426),作者利用了SAE仅仅限制EXEC命令,没有限制其他函数的漏洞,打破了整个沙盒的防御,最后给出的建议中,作者也提到了对沙盒的防御方式。SAE接受了常规的沙盒安全方案,不再局限于限制某个函数等策略。现在到处都是限制,这对于作者来说真是艰难困苦的开始,感觉S
发布时间:2013-01-09 03:30 | 阅读:142972 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过5(强制修改class私有权限)

By 空虚浪子心 http://www.inbreak.net摘要作者在文章《SAE云服务安全沙箱绕过4(绕过文件权限防御)》http://www.inbreak.net/archives/436 提到过一个重要的类,是用来SAE做安全认证的,它叫做“com.sina.sae.security.SaeSecurityManager”,这个类提供几个验证方法,本次BY PASS,作者又把目标放在这个类上。正文上一篇文章已经提到,如果想这个类作为沙盒安全认证的基础类,就必须继承java.lang.SecurityManager,并且当前运行环境中,可以查到当前的SecurityManager对象,以及具体的类名等。可以执行 System 类的静态方法 getSecurityManager( ),如果在运行 Java
发布时间:2013-01-09 03:30 | 阅读:136664 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 心情日记 java sae sandbox.securi

Xcon2012 攻击JAVA WEB议题下载

我知道,很多人问我要过。里面有很多有趣的东西,有一群想知道的人,现在还不知道。感谢xcon2012给我这次展示的机会。和北京的一群朋友喝酒聊天很愉快。—————2007年,我听了一年xcon,感觉都是大牛,大牛都很牛,有些大牛很低调,我专程赶来膜拜。如果哪天我也上去讲一下。。。2009年,我听了xcon,感觉似乎上面讲的有些技术我也会点。2010年,xcon,我去蹭票,感觉我也有些东西,似乎大家还不知道,我又YY了一下,如果上去讲。。。2011年,xcon,我又去蹭票了,我在想,有些东西真的可以讲一下,但是太仓促,有些东西需要实例,没有准备好,我犹豫了。2012年,xcon,几个月的精心准备,议题通过了,我站在xcon的演讲台上。其实,有很多梦想,来自
发布时间:2013-01-09 03:30 | 阅读:101392 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章

Struts2多个漏洞简要分析

by kxlzx http://www.inbreak.net1月份,SEC Cousult发布了一篇关于struts2漏洞的文章,写到4个struts2的最新漏洞。一个漏洞可以做远程代码执行,一个漏洞引出了新的远程代码执行,一个漏洞曾经我在blog上发布过(没有投CVE),以及一个之前也曾看到过,但是认为是鸡肋的漏洞。这篇文章题目叫做《Multiple critical vulnerabilities in Apache Struts2》四个漏洞,本文一个一个的讲一讲它们的前世今生。Remote command execution in Struts
发布时间:2013-01-09 03:30 | 阅读:138419 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云