- 浏览: 623781 次
- 性别:
- 来自: 西安
-
文章分类
最新评论
-
d1438138:
[img][/img]
google api 的一些神奇使用 -
waykingeye:
[i][b][u]引用[list]
[*][img][url] ...
No result defined for action and result input -
tss0823:
...
No result defined for action and result input -
yahier:
有什么办法能够捕捉,然后给出自定义的提示呢
No result defined for action and result input -
chen_lian:
恩恩 按照上面的代码测试一下觉得很对
java创建目录
0x01
http://wcf1987.iteye.com/blog/1749088 这是对CVE-2012-0507的分析
http://wcf1987.iteye.com/blog/1768355这是对CVE-2013-0422的分析
本文则是java的cve-2013-0422的分析,其实看poc感觉上就跟CVE-2012-0507有几分相似的地方,都是最终利用了defineclass来实现定义一个高权限的类,他面临的挑战也与CVE-2012-0507有几分相似,下面具体分析。
0x02 这个poc的特点是新,目前为止orcale没打补丁,所以中招几率非常之大,大家速度关闭浏览器的java设置吧,话说回来,感觉java这几年好像漏洞频发的样子,不知道是我才关注还是oracle的不作为。
0x03 poc中有一段字符串,但是这段字符串解码如下
import java.security.AccessController;
import java.security.PrivilegedExceptionAction;
public class B
implements PrivilegedExceptionAction
{
public B()
{
try
{
AccessController.doPrivileged(this); } catch (Exception e) {
}
}
public Object run() {
System.setSecurityManager(null);
return new Object();
}
}
可以看到这段代码中就核心功能就一句话System.setSecurityManager(null);,这句话执行成功了,保护机制也就绕过了,poc的大量反射就为了能够高权限的去调用一下这个类B的构造函数,即poc中的localClass3.newInstance();
0x04 看这段poc中大部分的反射都集中在了这两个类中
sun.org.mozilla.javascript.internal.Context
sun.org.mozilla.javascript.internal.GeneratedClassLoader
看他的poc逐步突破路径如下:
0x5 这里会发现出现了大量的MethodHandle,MethodType之类的东西,这些东西都是jdk7新有的特性,和反射很类似,不过似乎效率更高?我个人目前觉得在这个poc中,这些调用方式如果替换成反射应该也是可以的,核心的对权限的突破应该是出现在0x04中提到的这两个类中
0x06
MethodHandles.publicLookup()
Returns a lookup object which is trusted minimally. It can only be used to create method handles to publicly accessible fields and methods.
之所以不用lookup的方法,是因为lookup返回的是所有的方法,而publicLookup只返回属性为public的方法和属性,这样子后面有一步就不会因为权限不够导致错误,
MethodType.methodType()
主要是定义方法的参数结构,可以有多个,主要支出各个参数的类型是什么
public MethodHandle findVirtual(Class<?> refc,
String name,
MethodType type)
throws NoSuchMethodException,
Produces a method handle for a virtual method. The type of the method handle will be that of the method, with the receiver type (usually refc) prepended. The method and all its argument types must be accessible to the lookup class.
When called, the handle will treat the first argument as a receiver and dispatch on the receiver's type to determine which method implementation to enter. (The dispatching action is identical with that performed by aninvokevirtual or invokeinterface instruction.)
The returned method handle will have variable arity if and only if the method's variable arity modifier bit (0x0080) is set.
Because of the general equivalence between invokevirtual instructions and method handles produced by findVirtual, if the class is MethodHandle and the name string is invokeExact or invoke, the resulting method handle is equivalent to one produced by MethodHandles.exactInvoker or MethodHandles.invoker with the same type argument.
这个方法就是去找到一个方法,第一个参数是这个方法是哪个类或者接口的,第二个参数是这个方法名是什么,第三个则是这个方法的参数是什么有几个,分别什么类型。注意这个方法可以去找那些接口的抽象方法,而不一定是具体的实现,通过这三个参数可以唯一的定位出一个方法,返回的就是methodHandle了。
public Object invokeWithArguments(List<?> arguments)
throws Throwable
Performs a variable arity invocation, passing the arguments in the given array to the method handle, as if via an inexact invoke from a call site which mentions only the type Object, and whose arity is the length of the argument array.
This method is also equivalent to the following code:
invokeWithArguments(arguments.toArray())
Parameters:
arguments - the arguments to pass to the target
Returns:
the result returned by the target
这个方法就是很简单调用前面返回的methodHandle了,参数与定义时的保持一致即可。返回就是方法执行的结果了
0x07 那么原来的复杂的反射调用可以简化为如下(只是表明调用的实质):
Context a =new sun.org.mozilla.javascript.internal.Context();
sun.org.mozilla.javascript.internal.GeneratedClassLoader b=a.createClassLoader(null);
b.defineClass(XX);
0x08 在以前的blog中我们说过java干掉安全机制的一种方法中,最重要的是如何去得到一个ClassLoader,而ClassLoader最大的问题是,在严格限制的低权限环境中肯定是不允许你创建他的子类的实例的,而通过getClass.getClassLoader则虽然可以得到当前类的ClassLoader,但是由于这个一般都是系统类,和我们不在同一个包下面,无法去调用这个protected的defineClass方法,在这个poc中我们发现似乎两个方面都有空子可以钻,
0x09 a.createClassLoader(null);这个方法按道理在低权限下是无法创建ClassLoader的,但是
由于找不到这两个文件的具体源代码,也就无从分析了,但是看上去似乎这里有点小问题,而后的b中又定义了一个public的defineClass方法估计在这个里面,可能在这个public方法里面去调用了protected的那个defineClass从而导致了安全系统的破坏。
发表评论
-
metasploit 图形化界面和自动化exploit脚本
2013-10-21 16:25 76600x01 最新版的metasploit没了图形化界面, ... -
APKTool签名的一个问题
2013-10-14 21:19 24570x01 昨天写了反编译,今天就写下签名的问题 0 ... -
APKTool打包的一个小问题
2013-10-13 20:23 247520x01,又开始写blog了,好久没有网络了,最近终于可以开 ... -
struts2远程执行漏洞学习(四)
2013-05-23 00:12 22220x01 最近又有了一个新的struts2漏洞,http:/ ... -
纯转一篇关于方法句柄的,对理解很多java poc帮助很大
2013-04-19 15:16 4234http://book.2cto.com/20130 ... -
CVE-2013-1493 学习
2013-03-25 16:06 28380x01 这个又是一个java CVE,效果前几个一样, ... -
myeclipse崩溃多处理的一个小窍门
2013-01-15 20:23 30990x01 如果大家用了myeclipse10以上版本,忽然间 ... -
CVE-2013-0422 学习
2013-01-11 16:26 40550x01 这个是这两天爆出来的,我构建了一个本地测试代码,主 ... -
CVE 2012 0507 分析
2012-12-17 16:00 35170x01 https://github.com/wche ... -
android 无权限 伪造短信
2012-11-06 09:15 35380x01 这个有是大名鼎鼎的蒋教授发现的,原理简单,有点意思 ... -
A new way to hack android app info
2012-11-06 01:04 1610最近新研究了一种android攻击手段,blog发到团队那里的 ... -
一次被黑追凶(未完待续)
2012-10-15 19:52 24200x01,某天师妹告诉我们某台服务器疑似被人干掉了,我果断远程 ... -
<找工作 十一>生产者消费者 组赛队列
2012-09-25 17:39 1478用阻塞队列实现 import java.util.co ... -
<找工作 十>生产者 消费者模型
2012-09-25 16:54 1102今天被问了个这个问 ... -
<找工作 九> 字符串全排列问题
2012-09-23 22:01 1344public class StringTest { ... -
<找工作 七>leetcode Add Two Numbers
2012-09-13 22:24 3095Add Two Numbers 链表相加 p ... -
<找工作 六>leetcode Median of Two Sorted Arrays
2012-09-13 21:25 3202http://www.leetcode.com/onlinej ... -
python 反编译 pyc 一些心得
2012-09-06 10:59 537240x01 , 现在用python的人也多了起来,代码安全始终是 ... -
关于web渗透中得一些记录
2012-08-24 23:31 35571. 当得到linux root shell时 ... -
mail xss
2012-08-11 21:57 16581 最近迷上了xss,感觉各种飘逸,特别是http://www ...
相关推荐
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011...
2.CVE-2016-0700 3.CVE-2016-0675 4.CVE-2016-3416 5.CVE-2016-0688 6.CVE-2016-0638 7.CVE-2015-2623 8.CVE-2015-4744 9.CVE-2014-2480 10.CVE-2014-2481 11.CVE-2014-4256 12.CVE-2014-4242 13.CVE-2014-4253 ...
利用CVE-2013-2251漏洞获取服务器的webshell,从而黑入服务器
CVE-2013-6117 $ ./CVE-2013-6117 -hOptions: -h, --help display help information -f, --filename File containing list of IP addresses -t, --target Target IP -n, --threads No of concurrent threads ...
Androidroot源码利用CVE-2013-6282漏洞.zip,太多无法一一验证是否可用,程序如果跑不起来需要自调,部分代码功能进行参考学习。
自己总结出来的一个脚本,虽然是利用,但是工具是可以用。系统漏洞脚本
CVE-2013-6282是一个漏洞编号,该漏洞属于Linux内核级别的漏洞,在android 2.x至4.3之前的版本中同样存在, 可以用于系统提权,获得root权限,属于Linux系统API缺陷。 利用该漏洞,开发Android root程序。
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
weblogic10.36 CVE-2018-2893补丁文件 最新补丁文件,修复 WebLogic(CVE-2018-2893)安全漏洞预警,oracle官方发布了2018年4月份的关键补丁更新CPU(CriticalPatchUpdate),其中包含一个高危的Weblogic反序列化漏洞...
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
1.上传并解压:Centos7-openssh补丁包(最新fix CVE-2021-41617 #2008884).zip 2.到服务器对应的解压目录 执行命令安装 : rpm -Fvh openssh-* 3.安装完成后执行命令查看修复情况: rpm -qa openssh --changelog | ...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
-----------------------------...有关于CVE-2019-2725漏洞信息涉及版本, 代码执行危害请百度查询 Cve-2019-2725 升级安装开始 1,cache_dir 这个目录 需要 自己建立 mkdir /Oracle/Middleware/utils/bsu/cache_dir
# CVE-2020-0688 Exchange RCE 前提: 已知一个域用户 影响版本: -Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30 -Microsoft Exchange Server 2013 Cumulative Update 23 -Microsoft ...
CVE-2017-12615漏洞利用工具;CVE-2017-12615漏洞利用工具;
CVE-2017-8759-Exploit-sample-master,漏洞示例代码。
ElasticSearch 远程代码执行漏洞分析(CVE-2015-1427)&高级利用方法1
cve-2019-6250漏洞分析代码,cve-2019-6250漏洞分析代码,cve-2019-6250漏洞分析代码,cve-2019-6250漏洞分析代码,