某友NCCloud黑名单绕过分析
2024-10-12 09:47:40 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Ha1ey@深蓝攻防实验室

相信大家实战项目中遇到过很多某友NC或者NCCloud,关于这个产品的漏洞也是层出不穷,最多的就是反序列化漏洞了。

在NC6.5这个产品版本的时候大家常用的一条利用链是CC链的任意方法调用,但是在新的补丁中添加了CC的黑名单,这就导致了这条链触发不了了。

部分黑名单如下

image-20240929171509962.png

但是在NCCloud环境找了黑名单之外的链子测试过后发现并没有想的那么简单。

无补丁和黑名单

使用常见的利用链即可造成RCE

image-20240929181808328.png

有补丁+黑名单

构造序列化数据避开补丁中的恶意类名,发送payload发现没有成功回显

image-20240929181808328.png

后面在接口处断点调试,发现会抛出如下异常:

java.lang.UnsupportedOperationException: 启用了 Java 安全时, 将禁用对反序列化 TemplatesImpl 的支持。可以通过将 jdk.xml.enableTemplatesImplDeserialization 系统属性设置为“真”来覆盖此设置。

image-20240929173345220.png

在后续的版本用友为了一劳永逸干脆直接把jdk.xml.enableTemplatesImplDeserialization禁用掉了,由于目前大多数的利用链都要依赖getter去调用getOutputProperties方法,从而导致TemplatesImpl加载恶意类,进而实现RCE。

关于 jdk.xml.enableTemplatesImplDeserialization 属性

Apache 官方在2015年发表的声明中提到关于com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 被滥用的问题,同时也给出解决方案可以通过将系统属性jdk.xml.enableTemplatesImplDeserialization设置为true 以允许反序列化,反之拒绝。这个属性如果未设置默认就是禁止的。

官方声明:https://news.apache.org/foundation/entry/apache_commons_statement_to_widespread

Bypass思路

首先关于TemplatesImpl类失效,就需要找其他加载恶意类的方式。

这里可以使用JNDI注入造成RCE

反序列化+JNDI

JNDI注入在JDK高版本的几种利用方式:反序列化和本地Factory类,反序列化就不能再用了,这里主要看和本地Factory的组合利用。

由于NC在某些环境下的的Tomcat版本小于8,就导致没有javax.el.ELProcessor,不怎么通用。NC环境中比较常见的一个依赖bsh,由于bsh同样满足具有无参构造方法同时有一个String.class参数类型的方法eval可以执行bsh脚本,加载恶意字节码。

image-20240929182901852.png

加一条链子

image-20240929183346778.png

利用链的后一部分就算找到了,下面只要找一个也是可以任意调用getter的入口点,构造恶意的JdbcRowSetImpl对象造成JNDI注入就可以组合起来了。前半段反序列化主要受黑名单的限制,找黑名单外的即可,这里不做指明。

测试效果如下

image-20240929173157028.png

已在FreeBuf发表 0 篇文章

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/articles/web/412655.html
如有侵权请联系:admin#unsafe.sh