分享一下挖掘某安全数据交换系统漏洞的过程。

最初拿到的系统是一个vmware虚拟机，系统是Linux

基本信息：

• • 后台管理界面用户名密码：admin/nxg@LL99
• • 操作系统：root / bo%Fn!71、uninxg / lx$zR9ce

根据产品安装文档环境搭建完毕后，手动设置IP地址和DNS：

手工修改 /etc/resolv.conf

修改 /etc/NetworkManager/NetworkManager.conf 文件，在main部分添加 “dns=none” 选项：

网络IP地址配置文件在 /etc/sysconfig/network-scripts 文件夹下：

我添加了两个网卡，其中一个用来供本机访问：

/etc/sysconfig/network-scripts/ifcfg-eth1-1

观察启动命令行：

/home/leagsoft/SafeDataExchange/Apache 是Tomcat的安装目录，webapps目录下是部署的应用源代码：

将war包通过ssh拷贝至本地就可以看到整个项目的源代码了。

将war包拷贝到本地通过idea打开，发现关键代码的实现都是空，连spring的控制器都是空，初步怀疑是被加密了，那么它是如何加密的呢？

既然网站可以正常跑起来，那么应该是运行时的某种技术手段实现，观察启动命令行：

命令行中有一个javaagent引起了我的注意：

将lib文件夹拷贝到项目中，观察jar包的结构：

看样子是调用了javassist实现了一种内存补丁技术，找到Agent的入口方法，看看它做了什么：

跟进CoreAgent.premain：

这里可以看到，它是先通过ECFileConfig初始化，然后解密读取Ini/ec.file

跟进ECFileConfig.getConfig()：

恰好我在服务器上找到了这个文件 ECFile.ini ：

再看看AgentTransformer 的实现：

AgentTransformer 重写了ClassFileTransformer的transform方法，将每一个class和密码放入JarDecryptor.doDecrypt进行解密，最终返回字节码。

再来看看JarDecryptor.doDecrypt的实现：

通过readEncryptedFile 方法读取**META-INF/.classes/** 下的class文件进行解密。

回到文件目录，在META-INF下发现了许多加密的class字节码文件：

这里我通过编写一个类，调用JarDecryptor.doDecrypt对全部class进行了解密：

跑一下Main方法就能将所有的加密class字节码文件还原，大功告成。

远程调试Tomcat

修改Tomcat安装目录下bin/catalina.sh 文件，通过定义catalina的配置选项可以在tomcat启动时开启远程调试端口。

修改文件：/home/leagsoft/SafeDataExchange/Apache/bin/catalina.sh

加入内容：

然后重启tomcat就可以进行远程调试了。

打开idea，将原本没有方法实现的class替换为已经解密的class，添加远程调试配置：

这里我替换了：

WEB-INF/classes/com/leagsoft/nxg/dlp/controller/FileTrackMarkMessageController.class

添加一个调试配置，点击Edit Configurations：

点击添加按钮，新增一个Remote配置：

填入远程调试的IP地址和端口：

然后在要调试的方法下断点，点击调试按钮，控制台会提示已经连接到目标JVM：

当访问到对应的控制器，并且代码执行时，断点会生效：

通过观察调用栈、局部变量的值可以很方便的帮助我们进行输入输出的判断。

后台命令执行一

通过审计发现FileTrackMarkMessageController.class中的getUploadFileID 方法调用了Runtime.getRuntime().exec 可能会存在命令执行漏洞。

我们的输入点是request对象，它被传入了getMultiParamterMap方法，跟进查看：

request 被传入了ServletFileUpload，看来是一个文件上传的数据包。

构造一个文件上传的数据包发送过去调试看看：

此时局部变量的值：

我发现文件名被带入了/bin/sh -c 意味着文件名也可以作为命令执行，由于前面有进行文件扩展名的获取解析，这个方法会取文件名的最后一个. 作为分割，把扩展名取得后拼接在最后面，最好的命令注入点是文件扩展名，最终我的payload如下：

利用``和${IFS}替代空格 在shell中的特点，可以达到任意命令执行的目的，我还发现它的java服务是以root用户启动的，意味着获取这个命令执行的权限就是最高权限。

com.leagsoft.uex.sysparam.controller.NoticeConfigController.class 中的testNoticeEmailAction方法存在命令注入，在调用JavaShellUtil.executeCommand方法时，将用户输入带入了bash脚本后面，但LeagUtil.filterCmdParams对输入的值进行了过滤替换，不过因为参数没有放入单引号中，可以使用; 对前面的脚本进行闭合，从而绕过限制执行任意命令。

发送数据包：

这款产品使用了javassist的动态执行技术，但是java始终还是java，我们只需要hook或者针对它最上层的代码进行研究即可，于是我根据本次漏洞挖掘，编写了一个工具：Rvn0xsy/DumperAnalyze: 通过JavaAgent与Javassist技术对JVM加载的类对象进行动态插桩，可以做一些破解、加密验证的绕过等操作 (github.com)

通过JavaAgent与Javassist技术对JVM加载的类对象进行动态插桩，可以做一些破解、加密验证的绕过等操作。

https://payloads.online/archivers/2023/09/18/acc369fd-9310-4351-889c-457b12da9c25author:倾旋

原文始发于微信公众号（Z2O安全攻防）：【代码审计】某安全数据交换系统的多个RCE漏洞挖掘