精品漏洞第4弹——层层放大java审计的攻击面

从系统全局配置文件入手以便精准锁定框架入口和审计对象，对框架运行流程的分析足以体现作者深厚的代码审计功底。

大型的Java系统都会使用Commons Collections这个组件，当开发者在不慎使用readObject()时，便会产生严重的后果。功夫不负有心人，全静态审计并找出反序列化的触发点，导致远程命令执行。

（本篇分析源自2017年7月精品漏洞第三名，360众测第一人，jkg006）。 

Section1:绪论

当你面对一个几个G的大型框架代码时候，怎么能够剥茧抽丝，把一个个小点放大到到处都是漏洞，这个就需要我们队javaweb框架进行整理的分析评估，因为拿到你手上的并不能调试，你只能根据代码功底，一个个的分析，找出来影响输入输出的点.

分析对象为某软件公司的大型财务软件。

Section2:漏洞分析

从一个javaweb的入口文件开始，我们分析web.xml

这个里面跟进去看看

如果以/~开始我们可以假设/~uap/UploadServlet 那么最后moduleName就是uap serviceName就是UploadServlet。

通过这里的getServiceobject来获取对应的路由规则，最后执行各个目标的service函数。

这里适用crl+t可以看出所以实现这个类的子类关系，里面的实例都有可能被调用，只要他满足上面两个条件，并且有service接口。当然，这个不是我们要解决的问题，我们要弄明白整体的框架调用关系，才能一本万利抓取更多的漏洞。

主要看看这个接口：

从这里分析，无非来自三处

1.     moduleName 为空的时候，来自NCLocator

2.    不为空的时候来自serviceObjMap，当然了这个应该是个启动缓存，其实真正来源于BusinessAppServer，这个第一次初始化回存储到serviceObjMap里面，第二次调用就不会再反复去计算了。

跟进getContainer看：

这里的nameModulesMap是这个类初始化创建的，看它的init方法。

然后我们分析以下initEnv，初始化上下文。

这里初始化了所有的模块调用的上下文，不多继续深入了，我们举例子说明。刚才假设的是/~uap/UploadServlet，我们就去modules里面去找uap模块。

里面在meta-INF所有已upm结尾的就是它的配置文件，

modules\uap\meta-INF\S_uapbase63.upm 看看这里的结构

里面又属性为accessProtected ，这个为false就是不需要验证的，并且可以对外调用的，为true就是内部调用的接口。这里整个module以及全局配置文件的解析过程都在：

总体上来看就是解析.module文件，并且这个配置文件accessProtected="false"才可以被外部调用。搜索一下有多少个这样的：

这个将近有461处，放大这么多接口，肯定有很多漏洞。知道了所有的整体流程，那么才开始我们的漏洞检查。

这里直接进行了反序列化操作。构造payload

8月、补天与你惊喜相遇

8月28，是浪漫柔情的七夕情人节，

我们为以下壮士准备了精致的礼物。

邮寄地址可以是自己，女友，母亲，

你的特殊需求，我们都会满足。

• 7月17日~8月17日，三大排行榜各前十名。

• 赏金猎人：本月获得漏洞奖金排前十的白帽

• 补天战神：本月提交有效漏洞数量排前十的白帽

• 火眼金睛：本月有效漏洞＞10个，准确率排前十的白帽

• 6月团队前三名，有贡献的团员。

• 补天精英活跃白帽子（官方认证才靠谱，没事儿多得瑟得瑟我们就认得你啦：）

  
  

• 02

  学习进步、吃喝玩乐

  
  

9月11日，补天白帽沙龙北京站

9月12~13日，中国互联网安全大会

三天极尽精华、待你体验！

7~8月团队总积分前五名的团队将获得：

• 每人价值2380元的ISC两日通票一张。

• 每人补天白帽沙龙北京站的VIP入场券一张

• 总额1000元的团队成员交通补助。

  
  

点击底部阅读原文，即可进入奖励页面。