影响:3.x ~ 3.3.4(3.x 中最高的版本,官方在 2016 年已经停止维护该项目)据漏洞的描述为可以通过 org.ajax4jsf.resource.UserResource$UriData 构造恶意的反序列化数据(里面插入 EL 来执行代码),从而攻击者可以在未认证的情况下实现远程代码执行的效果。0x00 RichFaces 中的反序列的点从官网下载 richfaces-demo-3.3.4.Final.war 作为测试对象,在 BaseFilter#doFilter 中检测是否为资源服务请求(这是个人理解,对 RichFaces 并不熟悉)处下一个断点开始跟踪调试往前跟到进...

0x00 前言上周出的 WebLogic 反序列漏洞,跟进分析的时候发现涉及到不少 Java 反序列化的知识,然后借这个机会把一些 Java 反序列化的利用与防御需要的知识点重新捋一遍,做了一些测试和调试后写成这份报告。文中若有错漏之处,欢迎指出。0x01 Java 反序列化时序Java 反序列化时序对于理解 Java 反序列化的利用或是防御都是必要的,例如有些 Gadget 为什么从 readObject 方法开始进行构造,为什么反序列化防御代码写在 resolveClass 方法中等。先写下三个相关的方法。1.1 readObject这个方法用于读取对象,这里要说的 readObje...

这是以前要写的一篇分析了,当时想的是着重分析 OGNL 的安全防护和怎么绕过的,因为针对漏洞本身的分析很多人已经写了。可惜也不是写的很细,先放这吧摘要3月6日,Struts2发布了关于S2-045的漏洞公告,提及到可以通过构造好的Content-Type值来实现远程代码执行攻击,影响的版本为Struts2 2.3.5 - Struts2 2.3.31,Struts2 2.5 - Struts2 2.5.10。由于在默认的情况下便可触发漏洞,并且有人发出了可以实现命令执行的Payload导致该漏洞的影响不仅广而且利用成本低,从一些SRC平台上对该漏洞的提交情况也可以看出这一点。随后在20日...

上周出来的漏洞,在 ZDI 上看说是会影响到 Weblogic 便去跟了下,后来发现这个洞并不是在 Weblogic 上的,而且也不一定会影响到 Weblogic。漏洞出现在 Oracle 的诊断助手(Diagnostic Assistant,DA)上,这玩意可以启动一个 Web 服务,要进行操作的话需要登录认证。CVE-2018-2617 就是 DA 启动的 Web 服务存在信息泄露漏洞导致可以绕过认证,再结合 CVE-2018-2615 和 CVE-2018-2615 这两个命令注入漏洞便可以实现远程命令执行。漏洞作者没有挖干净,去跟代码的时候发现除了这两个命令注入之外,还有 8 处...

前几天有文章(传送门)分析了 Apktool 之前版本存在的两个漏洞,其中第二个漏洞是解包 Apk 时通过类似目录遍历的方式把 unknown 中的脚本解压到线上的网站目录从而实现 RCE。这让我想起了之前一篇讲述 Python 中解压文件时的安全问题的文章(传送门),其实 Apktool 这个也是 Java 做文件解压时存在一样的问题了。0x01 Demo 代码Java 中做压缩/解压操作代码package ZipTest; import java.io.*; import java.util.zip.ZipEntry; import java.util.zip.ZipFile; i...