漏洞概述该漏洞允许未经身份认证的用户调用任意Bean里的任意方法,当调用一个恶意方法时会导致任意代码执行。漏洞分析调用任意Bean里面任意方法漏洞触发点位于servicesProxygenController#invokeService可以看到我们传入的beanIdOrClassName和methodName以及从请求包提取的body被当作参数传入invokeService方法这里通过getBean获取到Bean,接着获取这个Bean里面的所有方法存入数组var8,var7保存数组var8的长度。接下来进入循环,遍历Bean里面每一个方法,当遍历到的方法为传入的methodName时,获取body里面键为methodInput的值作为方法的参数放入变量methodInput,最后调用invoke方法。这样也就成功通过反射调用了我们指定的Bean里面指定的方法。寻找可利用的Bean这里找到的
影响版本Apache OFBiz < 17.12.07环境搭建这里使用Apache OFBiz 17.12.06、jdk8u202搭建环境,配置如下然后编译即可编译完成后会生成一个build目录然后配置JAR Application这里的jre版本是OFBiz运行版本,上面的8u202是Gradle编译时用的版本漏洞分析diff如下可以看到这里新增了黑名单DEFAULT_DENYLIST,内容为rmi和<,猜测可能是处理数据时出现的安全问题。和CVE-2021-26295一样,在frameworkwebappsrcmainjavaorgapacheofbizwebappeventSOAPEventHandler.java#invoke开始跟进SoapSerializer#deserialize跟进XmlSerializer#deserialize跟进Xmlserializer#
CVE-2021-21975漏洞复现漏洞分析位于casa/WEB-INF/classes/com/vmware/ops/casa/api/ClusterDefinitionController.class有一个路由/nodes/thumbprints这里接收POST传入的值作为address传入getNodesThumbprints方法,跟进ClusterDefinitionService#getNodesThumbprints这里实例化了一个HttpMapFunction类并调用了execute方法,可以看到返回的结果保存在response中,后面就是对返回结果的处理,从变量名和后面操作的行为就可以猜测execute方法里面就是发出请求也就是造成ssrf的地方,跟进看一看这里的hosts也就是我们传入的address转为数组的形式,接着将hosts赋值给var4,然后进入for循环遍历h
XMLEncoder&XMLDecoderXMLDecoder/XMLEncoder 是在JDK1.4版中添加的 XML 格式序列化持久性方案,使用 XMLEncoder 来生成表示 JavaBeans 组件(bean)的 XML 文档,用 XMLDecoder 读取使用 XMLEncoder 创建的XML文档获取JavaBeans。XMLEncoder例子代码如下package ghtwf01.demo;
import javax.swing.*;
import java.beans.XMLEncoder;
import java.io.BufferedOutputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
public class XmlEncoder {
pu
URLDNSURLDNS是ysoserial中的一条反序列化利用链,但最终效果不是命令执行而是一次DNS请求,但因为它有如下优点,所以通常用于检测目标是否存在反序列化漏洞使用Java原生类在目标没有回显的时候,能够通过DNS请求得知是否存在反序列列化漏洞不限jdk版本进入https://github.com/frohoff/ysoserial/blob/master/src/main/java/ysoserial/payloads/URLDNS.java即可看到ysoserial中URLDNS的exppackage ysoserial.payloads;
import java.io.IOException;
import java.net.InetAddress;
import java.net.URLConnection;
import java.net.URLStreamHandl
