🌸
补天每月精品漏洞:
第一名奖金无上限,最低10000元!
第二名5000元!
第三名3000元!
补天评审团队会选出上月提交漏洞中の精品前三,这可是除却漏洞奖励的额外精品激励奖金哦。
漏洞重点放通用(工控)、APP、IOT
万元精品奖励,或许离你更近哦:)
from爆料小姐姐
审核呆子有话说:
从系统全局配置文件入手以便精准锁定框架入口和审计对象,对框架运行流程的分析足以体现作者深厚的代码审计功底。
大型的Java系统都会使用Commons Collections这个组件,当开发者在不慎使用readObject()时,便会产生严重的后果。功夫不负有心人,全静态审计并找出反序列化的触发点,导致远程命令执行。
(本篇分析源自2017年7月精品漏洞第三名,360众测第一人,jkg006)。
这里适用crl+t可以看出所以实现这个类的子类关系,里面的实例都有可能被调用,只要他满足上面两个条件,并且有service接口。当然,这个不是我们要解决的问题,我们要弄明白整体的框架调用关系,才能一本万利抓取更多的漏洞。
主要看看这个接口:
从这里分析,无非来自三处
1. moduleName 为空的时候,来自NCLocator
2. 不为空的时候来自serviceObjMap,当然了这个应该是个启动缓存,其实真正来源于BusinessAppServer,这个第一次初始化回存储到serviceObjMap里面,第二次调用就不会再反复去计算了。
跟进getContainer看:
这里的nameModulesMap是这个类初始化创建的,看它的init方法。
然后我们分析以下initEnv,初始化上下文。
这里初始化了所有的模块调用的上下文,不多继续深入了,我们举例子说明。刚才假设的是/~uap/UploadServlet,我们就去modules里面去找uap模块。
里面在meta-INF所有已upm结尾的就是它的配置文件,
modules\uap\meta-INF\S_uapbase63.upm 看看这里的结构
里面又属性为accessProtected ,这个为false就是不需要验证的,并且可以对外调用的,为true就是内部调用的接口。这里整个module以及全局配置文件的解析过程都在:
总体上来看就是解析.module文件,并且这个配置文件accessProtected="false"才可以被外部调用。搜索一下有多少个这样的:
这个将近有461处,放大这么多接口,肯定有很多漏洞。知道了所有的整体流程,那么才开始我们的漏洞检查。
这里直接进行了反序列化操作。构造payload
01
七夕惊喜
8月28,是浪漫柔情的七夕情人节,
我们为以下壮士准备了精致的礼物。
邮寄地址可以是自己,女友,母亲,
你的特殊需求,我们都会满足。
7月17日~8月17日,三大排行榜各前十名。
赏金猎人:本月获得漏洞奖金排前十的白帽
补天战神:本月提交有效漏洞数量排前十的白帽
火眼金睛:本月有效漏洞>10个,准确率排前十的白帽
6月团队前三名,有贡献的团员。
补天精英活跃白帽子(官方认证才靠谱,没事儿多得瑟得瑟我们就认得你啦:)
02
学习进步、吃喝玩乐
9月11日,补天白帽沙龙北京站
9月12~13日,中国互联网安全大会
三天极尽精华、待你体验!
7~8月连续进入个人奖励前十名的白帽子将获得:
价值2380元的ISC两日通票一张。
补天白帽沙龙北京站的VIP入场券一张
7~8月团队总积分前五名的团队将获得:
每人价值2380元的ISC两日通票一张。
每人补天白帽沙龙北京站的VIP入场券一张
总额1000元的团队成员交通补助。
点击底部阅读原文,即可进入奖励页面。