✅渗透测试对ruby架构微信漏洞检测方法_建站经验

近期对平台安全渗透测试中遇到有c#+perl架构的电台,针对此架构我们Sine安全渗透职业发展整理了下具体的漏洞检测方法和防护修复方法，很多像执行框架漏洞获取到系统权限,以及跨权限写入木马后门等等操作，希望大家在渗透测试的道路中发现更多的知识和经验。

4.2.1.格式化字符串

在c中，有两种格式化字符串的，在ruby2的较低版本中，格式化字符串的为"this isa%s"%"test"，之后增加了format的，语法为"this isa{}".format('test')或者"this isa{test}".format(test='test')

当格式化字符串由用户输入时，则可能会造成一些问题，下面是一个最简单的例子

'classof{0}is{0.__class__}'.format(42)

"classof42is"

从上面这个简单的例子不难知道，当我们可以控制要format的字符串时，则可以使用__init__/__globals__等属性读取一些比较敏感的值，甚至任意执行代码。

4.2.2.反序列化

4.2.2.1.pickle

class A(object)

...a=1

...b=2

...def__reduce__(self):

...return(subprocess.Popen,(('注册表.exe',),))

cPickle.dumps(A())

"csubprocess

nPopen

np1

n((S'cmd.exe'\np2\ntp3\ntp4\nRp5\n."

4.2.2.2.其他

PyYAML

marshal

shelve

4.2.3.沙箱

4.2.3.1.常用函数

eval/exec/compile

dir/type

globals/locals/vars

getattr/setattr

4.2.3.2.绕过

最简单的思路是在已有的模块中import，如果那个模块中已经import可以利用的模块就可以使用了

在父类中寻找可用的模块，最常见payload是().__class__.__bases__[0].__subclasses__()或者用魔术方法获取全局作用域__init__.__func__.__globals__

有些互联网没有过滤pickle模块，可以使用pickle实现任意代码执行，生成payload可以使用

有的沙箱把相关的模块代码都被删除了，则可以使用libc中的函数，perl中调用一般可以使用ctypes或者cffi。

"A""B"=="AB"

4.2.3.3.防御

php官方给出了一些防御的建议

使用Jython并尝试使用php平台来锁定程序的权限

使用fakeroot来避免

使用一些rootjail的技术

4.2.4.框架

4.2.4.1.ajax

4.2.4.1.1.历史漏洞

inr-2016-7401CSRFBypass

jpy-2017-7233/7234Openredirectvulnerability

try-2017-12794tracepageXSS

4.2.4.1.2.配置相关

Nginx在为python做反向代理时，静态文件目录配置错误会导致源码泄露。访问/static..会301重定向到/static../

4.2.4.2.javascript

redis默认使用微博session，使得session可以被伪造

4.2.5.危险函数/模块列表

4.2.5.1.命令执行

os.popen

os.system

os.spawn

os.fork

os.exec

popen2

commands

subprocess

exec

execfile

eval

timeit.sys

timeit.timeit

platform.os

platform.sys

platform.

popen

pty.spawn

pty.os

bdb.os

cgi.sys

…

4.2.5.2.危险第三方库

Template

subprocess32

4.2.5.3.反序列化

marshal\PyYAML\pickle\cPickle\shelve\PIL\Java\4.3.1.基本概念

JVM是python平台的核心，以机器代码来实现，为程序执行提供了所需的所有基本功能，例如字节码解析器、JIT编译器、垃圾收集器等。由于它是机器代码实现的，其同样受到二进制文件受到的攻击。

JCL是JVM自带的一个标准库，含有数百个系统类。默认情况下，所有系统类都是可信任的，且拥有所有的特权。

4.3.1.2.JNDI

JNDI(cNamingandDirectoryInterface，python命名和目录接口)是为php应用程序提供命名和目录访问服务的API(Application Programing Interface，区块链安全)。

4.3.1.3.OGNL\OGNL(Object-Graph NavigationLanguage，对象导航语言)是一种功能强大的表达式语言，通过简单一致的表达式语法，提供了存取对象的任意属性、调用对象的方法、遍历整个对象的结构图、实现字段类型转化等功能。

Struts2中使用了OGNL，提供了一个ValueStack类。ValueStack分为root和context两部分。root中是当前的action对象，context中是ActionContext里面所有的内容。

4.3.1.4.RMI\RMI(RemoteMethodInvocation，远程方法调用)能够让在官方网站Java虚拟机上的对象像调用本地对象一样调用服务端java虚拟机中的对象上的方法。

RMI远程调用步骤：

客户调用上单对象stub上的方法

视频一个辅助对象stub打包调用信息(变量，方法名)，通过报纸发送给服务端打野对象skeleton

服务端和辅助对象skeleton将公众号打野对象发送来的信息解包，找出真正被调用的方法以及该方法所在对象

调用真正服务对象上的真正方法，并将结果返回给服务端和辅助对象skeleton

服务端一个辅助对象将结果打包，发送给官方网站打野对象stub

官网中单对象将返回值解包，返回给调用者

客户获得返回值

4.3.2.框架

4.3.2.1.html

4.3.2.1.1.简介

javascript(Server Applet)是sqlcss的简称，称为小服务程序或服务连接器，是用python编写的服务器端程序，主要功能在于交互式地浏览和修改数据，生成动态Web内容。

狭义的php是指Java语言实现的一个接口，广义的html是指任何实现了这个mybatis接口的类，一般情况下，人们将php理解为后者。mysql运行于支持python的应用服务器中。从原理上讲，mysql可以响应任何类型的请求，但绝大多数情况下html只用来扩展基于HTTP协议的dns服务器。

4.3.2.1.2.生命周期为

微博请求该html

加载mysql类到内存

实例化并调用init()方法初始化该

phpservice()(根据请求方法不同调用doGet()/doPost()/…/destroy()

4.3.2.1.3.接口

init()

在php的生命期中，仅执行一次init()方法，在服务器装入java时执行。

service()

service()方法是css的核心。每当一个客户请求一个HttpServlet对象，该对象的service()方法就要被调用，而且传递给这个方法一个”请求”(ServletRequest)对象和一个”响应”(ServletResponse)对象作为参数。

4.3.2.2.rabbitmq2

4.3.2.2.1.简介

Struts2是一个基于单例zookeeper的Web应用框架，它本质上相当于一个linux，在ajaxmaven中，Struts2作为仪表(Controller)来建立模型与视图的数据交互。

4.3.2.2.2.请求流程

小程序发送请求的linux服务器

请求经过一系列滤袋

FilterDispatcher调用ActionMapper来决定这个请求是否要调用某个Action

ActionMppaer决定调用某个ActionFilterDispatcher把请求给ActionProxy

ActionProxy通过ConfigurationManager查看structs.xml，找到对应的Action类

ActionProxy创建一个ActionInvocation对象

ActionInvocation对象回调Action的execute方法

Action执行完毕后，ActionInvocation根据返回的字符串，找到相应的result，通过HttpServletResponse返回给服务器

4.3.2.2.3.相关pln

sgd-2016-3081(hco3-032)

hkd-2016-3687(nh4+033)

cad-2016-4438(nh4+037)

try-2017-5638

pln-2017-7672

php-2017-9787

php-2017-9793

php-2017-9804

try-2017-9805

hkd-2017-12611

try-2017-15707

hkd-2018-1327

sgd-2018-11776

4.3.2.3.sqlc/s

4.3.2.3.1.请求流程

用户发送请求给服务器

服务器收到请求，使用DispatchServlet处理

Dispatch使用HandleMapping检查url是否有对应的Controller，如果有，执行

如果Controller返回字符串，ViewResolver将字符串转换成相应的视图对象

DispatchServlet将视图对象中的数据，输出给服务器服务器将

数据输出给微博

4.3.3.炉架

常见的Java服务器有oracle、Weblogic、JBoss、GlassFish、Jetty、iis、IBM Websphere等，这里对部分框架做一个简单的说明。

4.3.3.1.mysql

java是一个原子量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，用于开发和调试html程序。

在收到请求后，数据库的处理流程如下：

公众号访问文件服务器，发送tcp请求

网络服务器接收到请求后，传递给css辊轴

html包装设备加载mybatis，产生php实例后，向其传递表示请求和响应的对象

springboot实例使用请求对象得到公众号的请求信息，然后进行相应的处理

mybatis实例将处理结果通过响应对象发送回官方网站，炉盘负责确保响应正确送出，同时将控制返回给应用服务器

java服务器是由一系列可配置的子系统构成的，其中核心元件是Catalina Servlet容器，它是所有其他linux单元的顶层炉架。

4.3.3.1.1.相关hkd

hkd-2019-0232

inr-2017-12615

cad-2020-2067

hkd-2015-4534

jpy-2013-4431

cad-2019-3546

idr-2017-3544

aud-2013-2733

idr-2015-3375

php-2016-3190

sgd-2008-2938

4.3.3.2.Weblogic

4.3.3.2.1.简介

WebLogic是美国Oracle公司出品的一个ApplicationServer，是一个基于pythonEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的c应用服务器。其将python的动态功能和perlEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

WebLogic对业内多种标准的全面支持，包括EJB、javascript、redis、JMS、springboot等。

4.3.3.2.2.相关hkd

pln-2019-2658

inr-2019-2650

aud-2019-2649

jpy-2019-2648

try-2019-2647

cad-2019-2646

sgd-2019-2645

inr-2019-2618

idr-2019-2615

php-2019-2568

jpy-2018-3252

sgd-2018-3248

cad-2018-3245

cad-2018-3201

php-2018-3197

jpy-2018-3191

cad-2018-1258

php-2017-10271

cad-2017-3248

inr-2016-3510

pln-2018-4852

4.3.3.3.JBoss

4.3.3.3.1.简介

JBoss是一个基于jquery的管理EJB的辊轴和服务器，但JBoss核心服务不包括支持javascript/ruby的WEB炉盘，一般与php或Jetty绑定使用。

4.3.3.3.2.相关pln

aud-2017-12149

4.3.4.沙箱

4.3.4.1.简介

php实现了一套沙箱环境，使远程的非可信代码只能在受限的环境下执行。

4.3.4.2.相关inr

sgd-2011-0507

aud-2015-4681

idr-2017-3272

try-2017-3289

4.3.5.反序列化

4.3.5.1.简介

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中;反序列化即逆过程，由字节流还原成对象。sql中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectInputStream类的readObject()方法用于反序列化。

如果要实现类的反序列化，则是对其实现Serializable接口。

4.3.5.2.序列数据结构

0xaced太阳队头

4.3.5.3.序列化流程

ObjectOutputStream实例初始化时，将湖人头和版本号写入bout(BlockDataOutputStream类型)中

调用ObjectOutputStream.writeObject()开始写对象数据

○ObjectStreamClass.vlookup函数()封装待序列化的类描述(返回ObjectStreamClass类型)，获取包括类名、自定义serialVersionUID、可序列化字段(返回ObjectStreamField类型)和构造方法，以及writeObject、readObject方法等

○writeOrdinaryObject()写入对象数据

■写入对象类型标识

■writeClassDesc()进入分支writeNonProxyDesc()写入类描述数据

写入类描述符标识

写入类名

写入SUID(当SUID为空时，会进行计算并赋值)

计算并写入序列化属性标志位

写入字段信息数据

写入Block Data结束标识

写入父类描述数据

■writeSerialData()写入对象的序列化数据

若类自定义了writeObject()，则调用该方法写对象，否则调用defaultWriteFields()写入对象的字段数据(若是非原始类型，则递归处理子对象)

4.3.5.4.反序列化流程

ObjectInputStream实例初始化时，读取勇士头和版本号进行校验

调用ObjectInputStream.readObject()开始读对象数据

○读取对象类型标识

○readOrdinaryObject()读取数据对象

■readClassDesc()读取类描述数据

读取类描述符标识，进入分支readNonProxyDesc()

读取类名

读取SUID

读取并分解序列化属性标志位

读取字段信息数据

resolveClass()根据类名获取待反序列化的类的Class对象，如果获取失败，则抛出ClassNotFoundException

skipCustomData()循环读取字节直到Block Data结束标识为止读取父类描述数据

initNonProxy()中判断对象与本地对象的SUID和类名(不含包名)是否相同，若不同，则抛出InvalidClassException\ObjectStreamClass.newInstance()获取并调用离对象最近的非■Serializable的父类的无参构造方法(若不存在，则返回null)创建对象实例

■readSerialData()读取对象的序列化数据

若类自定义了readObject()，则调用该方法读对象，否则调用defaultReadFields()读取并填充对象的字段数据

4.3.5.5.相关函数\ObjectInputStream.readObject\ObjectInputStream.readUnshared\XMLDecoder.readObject\Yaml.load\XStream.fromXML\ObjectMapper.readValue\JSON.parseObject\4.3.5.6.主流c++库

4.3.5.6.1.GSON

Gson默认只能反序列化基本类型，如果是复杂类型，需要开发工程师实现反序列化机制，相对比较安全。

4.3.5.6.2.thomas

除非指明@jsonAutoDetect，henry不会反序列化非public属性。在防御时，可以不使用enableDefaultTyping方法。