Fastjson 1.2.24反序列化漏洞深度分析
Fastjson 1.2.24反序列化漏洞深度分析前言FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将会谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
关于Fastjson 1.2.24反序列化漏洞,自从17年以来已经有很多人分析过了,一些基础内容本文就不再陈述了。此次漏洞简单来说,就是Fastjson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的
本文将着重分析一下这个漏洞没有被详细介绍过的细节问题,如下:
parseObject(String text) 、parse (String text)、 parseObject(String text, Class<T> clazz)三个方法从代码层面上来看,究竟有何不同?
使用TemplatesIm ...
Monstra CMS RCE漏洞分析(CVE-2020-13384)
前言MonstraCMS是一套基于PHP与XML的现代化的轻量级内容管理系统,整套系统无需使用数据库,据说是一家乌克兰的公司开发的。
Monstra CMS 3.0.4版本中存在着一处安全漏洞,该漏洞源于程序没有正确验证文件扩展名。攻击者可以上传特殊后缀的文件执行任意PHP代码。但是通过分析后发现,这个漏洞的触发是依靠具体环境而来的,下文会详细介绍。
漏洞分析首先看一下Monstra CMS的功能页面
可以发现有一个文件上传功能。通过阅读后台代码可知,程序是通过黑名单机制限制文件上传的类型:
上图即是程序中用来限制上传的黑名单。程序不允许’html’, ‘htm’, ‘js’, ‘jsb’, ‘mhtml’, ‘mht’, ‘php’, ‘phtml’, ‘php3’, ‘php4’, ‘php5’, ‘phps’,’shtml’, ‘jhtml’, ‘pl’, ‘py’, ‘cgi’, ‘sh’, ‘ksh’, ‘bsh’, ‘c’, ‘htaccess’, ‘htpasswd’,’exe’, ‘scr’, ‘dll’, ‘msi’, ‘vbs’, ‘bat’, ‘com’, ...
phpBB从session id泄露到CSRF到XSS(CVE-2019-13376)
前言phpBB是一个论坛软件,使用PHP语言开发的并开放其源码。是模块化设计,具专业性、安全性高、支持多国语系、支持多种数据库和自定义的版面设计等优越性能,而且功能强大。
自2000年发布以来, phpBB已经成为世界上应用最广泛的开源论坛软件。
phpBB 3.2.7版以及之前版本中存在一处安全问题:当管理员从phpBB后台控制面板切换到前台时,系统会将session id存放于访问的前台功能的URL中使得攻击者可以窃取这个session id。由于phpBB的安全限制,攻击者不可以直接利用这个sid登录后台,但是可以协同phpBB后台编辑bbcode页面存在的CSRF漏洞,在目标服务器上实现存储型XSS。
漏洞分析首先来看一下phpBB的后台,也就是ACP页面
可以发现所有后台功能的url中都会携带着sid(session id)参数:
http://127.0.0.1/phpbb/phpBB/adm/index.php?sid=9c4869b4054e9ff8d4d588c32ffcf7e7&i=1
如果url中sid值错误,即使已经登录后台也无法正常的访问后台页面
p ...
WordPress Page Buider插件 CSRF to XSS漏洞分析
前言Page Builder by SiteOrigin是一个安装量超过100W的WordPress页面生成器插件,该插件可帮助用户使用基于小工具的页面生成器轻松构建响应式页面内容
近日wordfence安全人员披露了一个Page Builder by SiteOrigin2.10.15及以下版本中发现的严重安全漏洞:CSRF to XSS。攻击者可以通过诱使WordPress站点管理员单击特制链接以触发该漏洞,成功利用该漏洞可以使攻击者创建一个新的管理员帐户并安装后门程序。
漏洞分析Page Builder bySiteOrigin插件内置一款实时编辑器,用户可以在观察实时更改的同时更新内容,这使得页面的编辑和设计或发布过程更加流畅。
本次漏洞就是出现在该插件内置的实时编辑器中。
在编辑文章活页面时点击实时编辑器按钮即可使用此工具
在实时编辑器中可以实时预览编辑文章、添加小工具、修改页面布局等情况
以添加小工具功能为例,我们可以添加一个自定义HTML模块
在这个模块中添加一些内容
完成编辑后,用户的编辑效果可以实时呈现在编辑器浏览页面中
实时编辑器仅提供用户对草稿的编辑 ...
WordPress Ninja Forms插件 CSRF to XSS漏洞(CVE-2020-12462)分析
前言Ninja Forms是一款WordPress插件。使用Ninja Forms插件无需编码即可以创建美观、用户友好的WordPress表单。据统计,全球超过 2,000,000 个网站正在使用 Ninja Forms。
Ninja Forms 3.4.24.2之前的所有版本中存在一个严重的CSRF to XSS漏洞。成功利用此漏洞可以使得攻击者将WordPress网站中启用的Ninja Forms表单替换为包含恶意JavaScript的表单。当用户使用这些表单时触发xss漏洞。
漏洞分析根据漏洞披露来看,本次漏洞存在于ninja-forms\lib\NF_Upgrade.php文件 ninja_forms_ajax_import_form函数
在分析漏洞之前,我们先来了解下这个存在漏洞的文件是做什么用的。存在漏洞的文件名为NF_Upgrade.php,从字面意义上来看,是升级的意思,但这个文件的功能并不是如同其命名(Upgrade)那样用来升级ninja-forms插件版本,而是涉及到ninja-forms的一个特殊功能——“降级”Ninja Forms插件中存在着一个名为 “降 ...
WordPress Real-Time Find and Replace插件CSRF to Stored XSS漏洞分析
前言Real-Time Find and Replace是一个可以实时查找和替换WordPress网页数据的插件。据统计,该漏洞已安装在100,000多个站点上。
近日Real-Time Find and Replace 3.9版本被披露存在一处高度严重的安全问题:由于Real-Time Find andReplace的核心功能模块并没有采用随机数来校验请求的合法性,从而导致跨站点请求伪造(CSRF)漏洞的产生。攻击者可以利用此漏洞,使用恶意代码替换目标站点页面上的任何内容。
漏洞分析预备知识这一部分是对本次漏洞分析过程中涉及到的WordPress一些函数与机制的介绍,如果对WordPress很了解可以直接跳过
Real-Time Find and Replace插件是如何注册的首先分析下Real-Time Find and Replace插件是如何注册到wordpress的菜单栏中的,以及WordPress是如何调用该插件
real-time-find-and-replace插件代码很少,只有一个php文件real-time-find-and-replace.php
首先看wp-co ...
Joomla提权漏洞(CVE-2020-11890)
漏洞简介近日,joomla官方给出了一个安全公告。从公告可知Joomla! CMS versions 2.5.0 - 3.9.16版本在处理用户组时缺少对根用户组的检查,从而导致了一个提权漏洞的产生(CVE-2020-11890)。
经过我分析之后发现,想要利用这个漏洞,必须先要有一个管理员账号,而这个漏洞的作用仅仅能将管理员提权为超级管理员。
虽然这个漏洞看起来无比鸡肋,但是分析过程却其乐无穷:既了解joomla是如何实现用户组权限划分,又复习了下数据结构。总体上来说漏洞虽小,但分析过程还是很有研究与记录价值的。
漏洞分析本次漏洞可以将joomla系统中的Administrator用户提权为Super Users。在分析漏洞前,我们来看一下Super Users与Administrator有什么区别:
超级管理员 (Super Users):拥有Joomla的所有权限。并且超级管理员只能由另一个超级管理员来创建。
高级管理员(Administrator):Administrator没有权限将一个用户升级成超级用户或者编辑一个超级用户、不可以修改Joomla的全局设置,没有权限来改变和 ...
一款针对Wordpress开发的代码审计工具——Wpbuttle(工具介绍与源码分析)
前言近日发现了一款有意思的PHP静态代码审计工具——Wpbullet。与其他PHP代码审计工具不同的是,Wpbullet是一款针对WordPress插件/主题开发的静态代码分析工具。
Wordpress自身代码尚且可以说很安全,但是其插件的安全却参差不齐,这款工具可以对WordPress、插件、主题进行静态代码初步的审计,方便后续的漏洞挖掘工作。
由于该工具的说明文档较少,我对其工作原理以及其检测能力比较好奇,因此这篇文章除了简单介绍一下这个工具如何使用之外,更重要的是分析Wpbuttle这块工具的源码,介绍一下它的检测思路。
工具安装Wpbulle的github地址如下:
https://github.com/webarx-security/wpbullet
安装过程很简单,只需克隆项目、安装依赖并运行脚本即可
$ git clone https://github.com/webarx-security/wpbullet wpbullet
$ cd wpbullet
$ pip install -r requirements.txt
$ python wpbullet.py
...
Rand函数引发的安全问题 —— OSSN任意文件读取漏洞(CVE-2020-10560)
前言Open Source Social Network(OSSN),是一款用PHP编写的社交网络软件。OSSN允许用户创建一个社交网站,帮助拥有相似专业或个人兴趣的人建立社交关系。该软件拥有约50万下载量。
OSSN官网地址:
https://www.opensource-socialnetwork.org/
漏洞简介Open Source Social Network(OSSN)5.3之前版本中存在一处任意文件读取漏洞(CVE-2020-10560)。漏洞因OSSN生成的Site_Key强度过低从而可以遭受被暴力破解而产生,成功破解Site_Key的攻击者可以利用Site_Key构造出任意文件读取链接,通过components\OssnComments\ossn_com.php文件提供的文件预览接口,读取文件。
漏洞分析Open Source Social Network应用可以从如下官网链接下载:
https://www.opensource-socialnetwork.org/download
应用首页如下图
OSSN中提供Comment功能,访问者可以对帖子进行评论,见下图 ...
WordPress Rank Math SEO插件任意元数据修改漏洞分析
Rank Math是一款旨在帮助搜索引擎优化的WordPress插件,被称之为“WordPress SEO的瑞士军刀”。 Rank Math与Yoast SEO、All in One SEO Pack下载量排WordPress SEO工具下载量前三,但其功能方面完全不输Yoast付费版,几乎可以满足用户对SEO的所有需求。更重要的是,Rank Math是一款免费插件。
漏洞描述近日有研究团队发现,Rank Math插件中存在一个严重的漏洞,未经身份验证的攻击者可以利用该漏洞更新WordPress站点中的任意元数据。这将导致攻击者可以修改任意现有的文章、评论,跟或是将普通权限的用户提权为管理员,将管理员权限用户降级。
漏洞分析首先我们来看一下Rank Math插件中的漏洞触发点
漏洞触发点位于\wp-content\plugins\seo-by-rank-math\includes\rest\class-admin.php,见下图:
通过上图可见,class-admin.php文件中的gutenberg_routes方法通过register_rest_route方法注册了一个自定义 ...