首页 > 其他分享 >hvv面试常见框架漏洞

hvv面试常见框架漏洞

时间:2023-06-13 09:02:22浏览次数:33  
标签:调用 框架 漏洞 攻击者 面试 OGNL 序列化 hvv

1.thinkphp

特征判断

  1. 直接在url后加/?s=1
  2. whatweb进行探测,方式:whatweb URL

漏洞

5.0 RCE

原理

thinkphp底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,没有对""进行过滤,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生

think PHP 5 SQL注入漏洞和敏感信息泄露漏洞

传入的某参数在绑定编译指令的时候又没有安全处理,预编译的时候导致SQL异常报错。然而thinkphp5默认开启debug模式,在漏洞环境下构造错误的SQL语法会泄漏数据库账户和密码。

2.shiro 框架

shiro550

原理

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的Cookie,在服务端对rememberMe的Cookie值先base64解码然后AES解密再反序列化(AES是硬编码的),就导致了反序列化RCE漏洞。

特征

在返回包的Set-Cookie中存在rememberMe=deleteMe 字段

shiro721

原理

Apache Shiro RememberMe Cookie默认通过AES-128-CBC模式加密,这种加密方式容易受到Padding Oracle Attack(Oracle填充攻击),利用有效的RememberMe Cookie作为Padding Oracle Attack的前缀,然后精心构造 RememberMe Cookie 值来实现反序列化漏洞攻击

复现

先使用合法账号进行登录勾选remember Me然后使用bp抓包,
然后获取到cookie,将remember me字段复制下利用工具生成恶意的rememberme

550和721区别

550不需要登录,721需要登录获取正确的cookie,550是因为aes密钥是硬编码,所以直接可以构造payload,而721是利用Oracle填充攻击,将正确的cookie作为攻击前缀从而生成攻击payload
利用漏洞时550只需要一个url就可以利用工具实现检测和攻击,721需输入url,提供一个有效的rememberMe Cookie

3.log4j框架

Log4j是一个Java日志框架,用于生成日志信息,可以帮助开发者进行调试和问题排查。它可以生成不同级别的日志信息,并可以将日志信息输出到不同的目标,如控制台、文件或数据库等

特征:

${jndi :ldap(rmi)://url}

原理

Log4j2解析用户输入的消息时,未能对消息内容进行正确的过滤和检测,导致了恶意代码的注入。攻击者可以通过在用户输入中注入恶意对象和类名,触发Log4j2在反序列化时实例化并执行恶意代码,从而导致远程代码执行漏洞

利用

  1. 攻击者构造一个恶意日志消息,其中包含一个恶意Java对象,其类名是恶意代码的类名。
  2. 攻击者向目标系统的Log42日志记录器发送恶意消息。
  3. Log42会在处理消息时,通过使用默认的反序列化器将消息数据反序列化成Java对象。
  4. 攻击者在恶意消息中,构造了一个使用了恶意代码类的对象。
  5. 在实例化对象时,恶意代码的类会被加载,并执行其中恶意代码,导致远程代码执行漏洞。
  6. 攻击者在目标系统上获得远程控制权限。

防护

  1. 添加jvm启动参数-D log4j2. formatmsgnolookups=true
  2. 在应用 classpath下添加log4j2 component properties配置文件,文件内容为1中的指令
  3. 部署使用第三方防火墙产品迸行安全防护。

4.fastjson框架

Json是一种轻量级的数据交换格式,采用一种“键:值”对的文本格式来存储和表示数据,在系统交换数据过程中常常被使用,是一种理想的数据交换语言。在使用 Java 做 Web 开发时,不可避免的会遇到 Json 的使用。
介绍:Fastjson是一个Java语言编写的高性能JSON处理框架,由阿里巴巴集团开发和维护。它提供了一种快速、灵活和方便的方式来处理JSON数据

框架特征

  1. 任意抓包,提交方式改为post,花括号不闭合,返回包回出现fastjson字样
  2. 没回显就构造payload放dnslog盲打(dnslog.cn)

反序列化漏洞(1.2.24)

原理:

利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。

5.struts2框架

框架特征:

  1. URL 中添加不存在路径:在 URL 的反斜杠部分添加网站不存在的路径,最好是随机字符串组成的较长路径,如果返回同样的页面,则大概率是 Struts2 框架

例如:URL/S2_016_war/barspace/aaaaaaaaaa1/bbbbbbbb2/ccccccccc3/ddddddddddddd4/login.action
因为按照 Struts2 框架规则,首先会在当前路径下找 action 名 login,如果没有找到去上一层找,还没有找到会去上上层找,一直找到应用程序的根路径为止。层层向上查找,直接找到应用程序为止。

  1. URL 添加 /struts/domTT.css,若返回css代码,则大概率strust2,domTT.css在Struts2 的 jar 包中
  2. 输入一个不存在路径,返回404,或者传入乱码,造成500报错,抛出异常(根据异常信息判断)Struts2 常用的关键字有:no action mapped、struts2、namespace、defined for action等。
    攻击特征:
  3. url攻击特征:...*.action?method | ?redirect:${...}
  4. Content-Type攻击特征:%{#context
  5. 报文攻击特征:#_memberAccess

s2-048 RCE

原理:问题在struts2-struts1-plugin这个插件包上。这个库的主要作用就是将struts1的action封装成struts2的action以便它能在strut2上运行使用。
而由于struts2-struts1-plugin 包中的 “Struts1Action.java” 中的 execute函数可以调用 getText() 函数,这个函数刚好又能执行OGNL表达式,同时这个 getText() 的 参数输入点,又可以被用户直接进行控制,如果这个点被恶意攻击者所控制,就可以构造恶意执行代码,从而实现一个RCE攻击。

OGNL表达式
是对象图导航语言,功能强大的表达式语言,通过简单的表达式语言,就可以存取对象的任意属性,调用对象的方法
关键特点和用法示例:
1.导航对象图:OGNL允许通过点号(.)来导航对象图的属性和方法。例如,person.name表示访问person对象的name属性。
2.访问集合和数组:OGNL支持对集合和数组进行访问和操作。可以使用方括号([])来获取集合或数组的元素,例如,list[0]表示获取列表的第一个元素。
3.方法调用:OGNL允许调用对象的方法,并传递参数。例如,person.getName()表示调用person对象的getName()方法。
4.表达式计算:OGNL支持在表达式中执行算术运算、逻辑运算、比较运算等。例如,age > 18 && age < 60表示判断age是否大于18且小于60。
5.条件判断:OGNL支持条件判断,可以使用三元表达式(? :)来实现条件判断。例如,score >= 60 ? "Pass" : "Fail"表示如果score大于等于60,则返回"Pass",否则返回"Fail"。
6.调用静态方法和访问静态字段:OGNL支持调用静态方法和访问静态字段。可以使用@符号来指示静态方法和静态字段。例如,@java.lang.Math.abs(-5)表示调用Math类的静态方法abs()。6.调用静态方法和访问静态字段:OGNL支持调用静态方法和访问静态字段。可以使用@符号来指示静态方法和静态字段。例如,@java.lang.Math.abs(-5)表示调用Math类的静态方法abs()。

s2-062 RCE

原理:

开发人员使用%{…} 语法进行强制 OGNL 解析,有一些特殊的TAG属性可以执行二次解析。对不受信任的用户输入使用强制 OGNL 解析可能会导致远程代码执行。

修复

  1. 通过给所有属性一个空白值 =“”
  2. 将 org.apache.commons.collection.BeanMap 添加到 Struts2 沙箱的 excludeClasses 列表将排除直接使用它
  3. 升级到最新版本

6.spring框架

框架特征

  1. url中添加不存在路径,spring框架会报错,他会含有whitelabel Error Page关键字
  2. 访问/oauth/authorize路径 favicon.ico spring是一片小绿叶

Framework反序列化漏洞(CVE-2017-8047):

在Spring Framework中,如果应用程序未正确处理反序列化操作,攻击者可以通过构造恶意的序列化数据,执行任意代码。

AMQP远程命令执行漏洞(CVE-2017-8045):

原理

在Spring AMQP的Message类中,如果应用程序未正确配置(前置条件:将请求的ContentType设置为application/x-java-serialized-object),攻击者可以通过构造恶意的AMQP消息,使得getBodyContentAsString方法中将接收到的消息进行反序列化操作,从而导致任意代码执行。

标签:调用,框架,漏洞,攻击者,面试,OGNL,序列化,hvv
From: https://www.cnblogs.com/Nuy0ah/p/17476511.html

相关文章

  • C++面试八股文:static和const的关键字有哪些用法?
    C++面试八股文:static和const的关键字有哪些用法?某日二师兄参加XXX科技公司的C++工程师开发岗位第7面:面试官:C++中,static和const的关键字有哪些用法?二师兄:satic关键字主要用在以下三个方面:1.用在全局作用域,修饰的变量或者函数为静态的,限制在本文件内使用。2.方法内修饰修饰静......
  • C++面试八股文:了解位运算吗?
    某日二师兄参加XXX科技公司的C++工程师开发岗位第12面:面试官:了解位运算吗?二师兄:了解一些。(我很熟悉)面试官:请列举以下有哪些位运算?二师兄:按位与(&)、按位或(|)、按位异或(^),按位取反(~)、左移(<<)和右移(>>)。面试官:好的。那你知道位运算有什么优势吗?二师兄:优势主要有两点:1.速度快。2.节......
  • 你可能需要一个面试指导
    作为一名从业多年的高级Java讲师,我热衷于帮助学习者在Java编程领域获得更好的发展。在本篇博客中,我将提供一些面试指导,以及经验总结等首先,让我们来谈一谈面试。对Java开发人员来说,面试是未来职业机会获得的重要途径。以下是一些我建议您遵循的面试技巧:1.熟悉Java编程语言基础知......
  • 文件包含漏洞(----php伪协议)
    文件包含漏洞在通过PHP的函数引入文件时,为了灵活包含文件会将被包含文件设置为变量,通过动态变量来引入需要包含的文件。此时用户可以对变量的值可控,而服务器端未对变量值进行合理地校验或者校验被绕过,就会导致文件包含漏洞。文件包含函数include()代码执行到include()函数......
  • hvv面试常见框架漏洞问题合集
    1.thinkphp特征判断直接在url后加/?s=1whatweb进行探测,方式:whatwebURL漏洞5.0RCE原理thinkphp底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,没有对""进行过滤,用户可以调用任意类的任意方法,最终导致远程代码执行漏洞的产生thinkPHP5SQL注入......
  • 【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
    漏洞简介ApacheKafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS配置和SASL协议的任意Kafka客户端,对KafkaConnectworker创建或修改连接器......
  • 最近面试题
    面试题1.业务流程的测试点2.考虑哪些异常场景3.余额怎么看4.余额存在网站上吗?5.产品出货你关吗?6.自动化怎么做的7.文本会检查哪些东西8.有没有检查过数据库9.做自动化时不会自动检查数据库吗?10.接口测试测什么11.怎么考虑接口案例12.接口案例是自己设计的吗?13.检查接......
  • C++面试八股文:如何在堆上和栈上分配一块内存?
    C++面试八股文:如何在堆上和栈上分配一块内存?某日二师兄参加XXX科技公司的C++工程师开发岗位6面:面试官:如何在堆上申请一块内存?二师兄:常用的方法有malloc,new等。面试官:两者有什么区别?二师兄:malloc是向操作系统申请一块内存,这块内存没有经过初始化,通常需要使用memset手......
  • 计算机体系结构面试题
    1、请解释什么是指令级并行(Instruction-LevelParallelism,ILP)并提供一个示例说明? 在计算机体系结构中,指令级并行是指同时执行多个计算机指令的能力,以提高程序的执行速度。这种并行性的实现通常涉及到在单个指令流中发现和执行多个独立指令的方法。示例:假设有以下三个指令:ADD......
  • 面试考代码,居然翻车了!
    你好,我是田哥今天早上,一位同学去现场面试,面试官现场写一段代码,请看代码:/***@author公众号:java后端技术全栈*@date2022年11月07日*/publicclassSolution{publicstaticvoidmain(String[]args){intcount=0;for(inti=0;i<10;i++......