漏洞影响:<=1.9.x
起因:看到战队转发了一条Y4tacker
师傅的星球文章。
简单跟了一下发现挺简单的一条利用链。
利用链
StringSubstitutor#replace
StringSubstitutor#substitute
StringSubstitutor#resolveVariable
ScriptStringLookup#lookup
前置知识
根据名称得到脚本引擎
ScriptEngine engine = new ScriptEngineManager().getEngineByName("JavaScript"); engine.eval("java.lang.Runtime.getRuntime().exec(\"calc\")");
此方法能弹出计算器。(emmm没去细了解。)
漏洞分析
StringSubstitutor#replace
StringSubstitutor#substitute
StringSubstitutor#resolveVariable
这三段其实跟Log4j
是差不多的。目的:为了将${}
中间的内容提取出来。
往下走会来到:
跟进
匹配第一个:
前面的字符串然后将余下的字符串另外存入name
字符串中,并且会从stringLookupMap
中获取对应的lookup,这里即为ScriptStringLookup
。
进入ScriptStringLookup#lookup
,会根据:
分割字符串。最终导致该漏洞触发。
漏洞修复
在InterpolatorStringLookup#lookup中stringLookupMap
被缩短了,没有了key=script
删除了dns
、url
、script
。
可以分别来看看。
URL
看了代码让我想到了URLClassLoader异常回显
(可惜没有实例化)
DNS
主要用于探测吧。
inetAddress.getHostAddress() 获取IP地址
inetAddress.getHostName() 获取主机名
inetAddress.getCanonicalHostName()
getCanonicalHostName方法和getHostName方法一样,也是得到远程主机的域名。但它们有一个区别。getCanonicalHostName得到的是主机名,而getHostName得到的主机别名
本文作者:4Varial14
本文转载于先知社区,如有侵权请联系删除
© 版权声明
部分文章采集于互联网,若侵权请联系删除!
THE END
cesfe 22天前0
好的,谢谢昶之琴 24天前0
这个安装地址失效了,我在网上找了一个:https://xiazai.zol.com.cn/detail/35/344340.shtml 如果还是不行的话就需要您自己去网上找找了cesfe 25天前0
帆软部署 ,访问的地址访问不到昶之琴 2年前0
我以为只要提交就行了好想告诉你 2年前0
花巨资看一下